Google ha confirmado la existencia de
un problema de seguridad en sus llaves de seguridad Titan.
Titan es un sistemas de seguridad que
se compone de 2 llaves, una contiene una conexión USB y otra un dispositivo
bluetooth el cual permite dar al usuario una doble autenticación a la hora de
iniciar sesión en los servicios del gigante. El dispositivo USB daría cobertura
ante un inicio de sesión en ordenadores convencionales, y el dispositivo
bluetooth daría cobertura al inicio de sesión en dispositivos móviles. En pocas
palabras, es un sistema similar a la doble autenticación o autenticación en 2
pasos.
El fallo reportado existe solo en la
llave bluetooth y es debido a un fallo en la configuración de emparejamiento en
le dispositivo bluetooth, por lo tanto la llave USB no se ve afectada por la
vulnerabilidad.
Con esta vulnerabilidad, un atacante
con los conocimientos adecuados podría sincronizarse con la llave bluetooth en
el momento del inicio de sesión de la víctima (momento en el que la víctima
aprieta el botón) y saltarse esta doble autenticación.
Inmediatamente Google se ha puesto en
contacto con los usuarios que tengan una versión de Titan vulnerable alertando
de la utilización de la llave bluetooth hasta que Google reemplace dicha llave
por otra con la vulnerabilidad corregida. Para saber si una llave es
vulnerable, tan solo hay que mirar si en la parte trasera contiene el texto
‘T1’ o ‘T2’, si es así, la llave sería vulnerable.
A pesar de esta vulnerabilidad y de
los efectos que podría causar si una cuenta se viese comprometida, Google
intenta tranquilizar a los usuarios basándose en la complejidad para realizar
el ataque con éxito, ya que el atacante debería de cumplir 3 requisitos.:
·
Tener
amplios conocimientos sobre la materia.
·
Estar
a unos 10 metros de distancia en el momento en que al víctima realiza esta
doble autenticación.
·
Conocer
el usuario y contraseña de la víctima.
Actualmente el dispositivo de
seguridad Titan solo está disponible en EEUU y está en duda la expansión de
este dispositivo a otras partes del mundo.
Más
información:
· Google
Security Blog https://security.googleblog.com/2019/05/titan-keys-update.html
Fuente: Hispasec