Nelle scorse ore il team di Google ha reso noto di avere identificato un problema con la variante Bluetooth delle sue chiavi di sicurezza Titan per l’autenticazione a due fattori.
Ricordiamo che il colosso di Mountain View ha lanciato tali dispositivi lo scorso luglio per offrire ai propri utenti uno strumento sicuro e affidabile ma, a quanto pare, la variante Bluetooth può essere utilizzata da un malintenzionato nelle immediate vicinanze.
Esiste, infatti, un “errore di configurazione nei protocolli di accoppiamento Bluetooth di Titan Security Keys”, relativo al modello a batteria e che non riguarda quello che si collega direttamente tramite USB.
Stando a quanto rivelato da Google, esistono due possibili scenari:
- prima di poter utilizzare il token di sicurezza, è necessario associarlo al dispositivo e, una volta associato, un malintenzionato in stretta prossimità fisica potrebbe usare il proprio dispositivo per mascherarsi come chiave di sicurezza interessata e connettersi al device nel momento in cui viene richiesto di premere il pulsante sulla chiave (quindi potrebbe provare a cambiare il proprio dispositivo in modo che appaia come una tastiera o un mouse Bluetooth e potenzialmente intraprendere azioni sul device)
- quando si tenta di accedere a un account sul proprio dispositivo, normalmente viene chiesto di premere il pulsante sulla chiave di sicurezza per attivarlo e un malintenzionato in stretta vicinanza fisica potrebbe collegare il proprio device alla chiave di sicurezza interessata prima che venga effettuata la connessione (in tale caso un malintenzionato può accedere all’account della vittima se ha già ottenuto il nome utente e la password)
I modelli che sul retro hanno le sigle “T1” o “T2” sono affetti dal problema e possono essere sostituiti gratuitamente. Basta recarsi su questo sito per ottenere un codice promozionale per il Google Store.
Il colosso di Mountain View ha reso noto che con le patch di sicurezza Android di giugno verranno annullate le chiavi interessate.