Un equipo de investigadores de seguridad de Microsoft descubrió una vulnerabilidad potencialmente grave en la versión compatible con Bluetooth de las claves de seguridad Titan de Google que no se pudo reparar con una actualización de software.
Sin embargo, los usuarios no deben preocuparse, ya que Google ha anunciado que ofrecerá un reemplazo gratuito para los dongles de seguridad de Titan afectados.
En un aviso de seguridad publicado el miércoles, Google dijo que una "mala configuración en los protocolos de emparejamiento de Bluetooth de Titan Security Keys" podría permitir que un atacante físicamente cerca de su clave de seguridad (~ dentro de 30 pies) se comunique con él o con el dispositivo en el que se encuentra su clave o con el que esté emparejado.
Lanzado por Google en agosto del año pasado, Titan Security Key es un dispositivo USB de bajo costo que ofrece autenticación de dos factores basada en hardware (2FA) para cuentas en línea con el nivel más alto de protección contra ataques de phishing.
La clave de seguridad Titan, que se vende a $ 50 en la tienda Google, incluye dos claves: una clave de seguridad USB-A con NFC y una clave Bluetooth / NFC equipada con batería y equipada con Micro-USB para la autenticación segura de dos factores.
Según Google, la vulnerabilidad solo afecta a la versión BLE de las claves de seguridad de Titan que tienen un signo "T1" o "T2" en la parte posterior de la misma. Las otras claves de seguridad que no son Bluetooth, o que son versiones compatibles con USB o NFC, son seguras de usar .
Originalmente, Microsoft descubrió la vulnerabilidad y la reveló a Google, así como a Feitian, la compañía que fabrica Titan Keys para Google y también vende el mismo producto (ePass) bajo su propia marca.
Feitian también hizo una divulgación coordinada sobre esta vulnerabilidad el mismo día que Google y está ofreciendo un programa de reemplazo gratuito para sus usuarios.
Como el problema solo afecta al protocolo de emparejamiento de Bluetooth y no a la seguridad criptográfica de la clave en sí, Google recomienda a los usuarios afectados que sigan usando sus claves existentes hasta que obtengan un reemplazo.
Google también dice que la clave de seguridad de Bluetooth es aún más segura que apagarla por completo o confiar en otros métodos de autenticación de dos factores como SMS o llamadas telefónicas.
