因无线配对协议错误 谷歌宣布召回 BLE 版 Titan 安全密钥

Titan安全密钥是由谷歌推出的一款防范网上诱骗的双重身份验证 (2FA) 设备，内置硬件芯片，其中包含由 Google 设计的固件，用于验证密钥的完整性。它主要为IT管理员这样的高价值用户提供妥善的安全保护，并防范账号被盗用。不过近期谷歌发现Titan存在安全隐患，允许攻击者在物理接近的时候访问安全密钥或者和它配对的设备。

由于蓝牙低功耗（BLE）版本Titan安全密钥的无线配对协议中存在错误配置，导致谷歌宣布召回这批设备。当Titan安全密钥和配对的设备进行通信的时候，这个错误允许攻击者在大约30英尺范围内发起攻击。根据谷歌官方的概述：

当您尝试在设备上登录帐户时，通常会要求您按BLE安全密钥上的按钮将其激活。在此时刻身临近距离的攻击者可能会在您自己的设备连接之前将自己的设备连接到受影响的安全密钥。在这种情况下，如果攻击者以某种方式已经获得您的用户名和密码并且可以准确地计算这些事件，则攻击者可以使用他们自己的设备登录您的帐户。

在使用安全密钥之前，必须将其与您的设备配对。配对后，与您近距离接触的攻击者可以使用他们的设备伪装成受影响的安全密钥，并在您被要求按下密钥上的按钮时连接到您的设备。之后，他们可能会尝试将其设备更改为蓝牙键盘或鼠标，并可能会对您的设备执行操作。

如果你手头上就有一个Titan安全密钥，那么可以通过检查设备背面来确认是否受到影响。如果您看到“T1”或“T2”，那么您的密钥会受到影响，您有资格获得免费更换。由于该错误仅影响蓝牙配对，因此安全密钥的非蓝牙版本不受影响。

（稿源：cnBeta，封面源自网络。）