谷歌藍牙密匙曝安全漏洞 承諾為用戶免費更換

騰訊科技訊 5月16日消息，據外媒報導，谷歌日前披露了其藍牙Titan安全密鑰存在的兩個安全漏洞，並承諾為用戶免費更換它們。

谷歌宣稱，“Titan安全密鑰的藍牙匹配協議中存在配置錯誤”，可能允許黑客侵入用戶的账戶或設備，儘管這種情況只會在幾種特定(且特別難以實現)的情況下實現。

谷歌表示，今天的披露是一種協調行動，因為負責生產這種受影響產品的飛天公司(Feitian)同時也在披露這一問題。後者今天也披露了同樣的安全漏洞，並承諾為其用戶提供更換服務。飛天公司為谷歌生產Titan密匙，同時也以自己的品牌銷售密鑰。谷歌稱，微軟最初發現了這個漏洞，並向飛天公司報告了其發現。

長期以來，谷歌一直是兩步認證機制(2FA)的領先者。特別是，該公司始終在推銷其Titan安全密鑰，稱其是更安全的方式，使2FA比身份驗證應用更簡單易用。谷歌在這方面沒有做錯，但考慮到它的目的是提供更高級別的安全保護，其對任何潛在的安全漏洞都將進行更高級別的審查。

谷歌披露了兩個漏洞。第一，當用戶按下登錄身份驗證按鈕時，如果黑客在其密鑰10米左右的Bluetooth Low Energy範圍內，他們就可以將其設備與用戶的安全密鑰相連。如果他們獲取用戶的密碼，他們就可以進入起帳戶。

第二種可能的情況是，當用戶第一次配對密鑰時，黑客可以“偽裝成受影響的安全密鑰並連接到其設備”，然後在用戶的設備上執行與其他藍牙設備相同的操作，例如充當鍵盤或滑鼠。

因此，黑客需要知道這些漏洞，擁有能夠利用該漏洞的軟體，並需要在正確的時間執行攻擊。不過，這是一系列不太可能發生的事件，但像Titan這樣的物理安全鑰匙需要達到更高的標準，才能確保人們的信任。

在線身份保護設備領先提供商Yubico的創始人曾批評谷歌推出了BLE密鑰，因為其認為這種設備不會像USB或NFC那樣安全。谷歌披露的Titan安全密鑰藍牙漏洞並不影響最近推出的、使用安卓手機作為物理安全密鑰的能力。這種方法並不像Titan和飛天密匙那樣依賴藍牙配對。

如果用戶的Titan密匙上有“T1”或“T2”字樣 ，就有資格要求免費更換。谷歌建議用戶繼續使用自己的安全密鑰，它仍然可能比其他兩步驗證方法更安全，而且絕對比不使用兩步驗證更安全。（騰訊科技審校/金鹿）