Se si è in possesso di un’unità Bluetooth delle Titan Security Key commercializzate da Google è bene controllare se sul lato posteriore del dispositivo sono presenti le sigle T1 o T2, come riportato nell’immagine allegata più avanti nell’articolo. In tal caso, è consigliato disconnetterla dal dispositivo. Un bug scoperto dal gruppo di Mountain View potrebbe consentire a un malintenzionato che si trova nelle vicinanze di perpetrare una violazione dell’account associato.
Google, bug per le Titan Security Key
I possessori dei modelli affetti dal problema possono richiederne la sostituzione gratuita. Da precisare che il post condiviso da bigG sulle pagine del blog ufficiale fa riferimento a dispositivi venduti esclusivamente nel territorio statunitense. Risulta in ogni caso di particolare interesse poiché si tratta della prima grave vulnerabilità che riguarda questo tipo di prodotti, pensati proprio per incrementare il livello di sicurezza offerto all’utente, ai suoi account e alle sue informazioni, soprattutto contro gli attacchi di phishing. Stando ai dettagli resi noti, l’intoppo è legato a una errata configurazione dei protocolli Bluetooth per l’accoppiamento della Security Key.
Siamo venuti a conoscenza di un problema che interessa la versione Bluetooth Low Energy (BLE) della Titan Security Key disponibile negli Stati Uniti e stiamo comunicando agli utenti gli step da compiere sia per mettersi al sicuro sia per ricevere gratuitamente la sostituzione.
Per sfruttare il bug ci si deve trovare all’interno del range coperto dalla comunicazione Bluetooth (meno di dieci metri) e agire non appena il malcapitato utente preme il pulsante della Security Key come secondo fattore per l’autenticazione all’account. In questo modo il login può essere associato al dispositivo del malintenzionato (anziché a quello del legittimo proprietario), che deve in ogni caso già conoscere username e password, con tutto ciò che ne consegue. Google sottolinea che il problema non rende le chiavi meno efficaci contro gli attacchi di phishing e che possono continuare a essere utilizzate all’interno di un luogo privato, dove si è certi che non vi siano minacce nelle vicinanze.
È molto più sicuro utilizzare una chiave interessata dal problema che non usarla affatto. Le Security Key rappresentano la protezione più solida contro il phishing tra quelle al momento disponibili.
Yubico, altra azienda attiva nella produzione e commercializzazione di Security Key, ha scelto di non realizzare modelli basati su Bluetooth proprio a causa dei potenziali rischi connessi all’impiego del protocollo.
Aggiornamento: Google comunica che risultano vulnerabili anche i modelli “Feitian”: in questo caso occorre verificare se sul retro siano indicati i numeri “1”, “2” o “3”, elemento probante della vulnerabilità.