蓝牙配对错误迫使谷歌召回精选的泰坦安全密钥

简而言之：Google最近意识到影响精选Titan Security Keys的安全问题。此问题不会影响设备的主要目的 – 阻止网络钓鱼尝试 – 但是当攻击者用于访问它或其配对设备时，可能允许攻击者在物理上接近。

蓝牙低功耗（BLE）版Titan Security Key的无线配对协议配置错误迫使谷歌召回该设备。

当用于与密钥或与其配对的设备进行通信时，该错误可能允许攻击者在距设备大约30英尺的范围内。为了利用错误配置，攻击者必须完全按照Google概述的时间对事件进行计时：

• 当您尝试在设备上登录帐户时，通常会要求您按BLE安全密钥上的按钮将其激活。在此时刻身临近距离的攻击者可能会在您自己的设备连接之前将自己的设备连接到受影响的安全密钥。在这种情况下，如果攻击者以某种方式已经获得您的用户名和密码并且可以准确地计算这些事件，则攻击者可以使用他们自己的设备登录您的帐户。

• 在使用安全密钥之前，必须将其与您的设备配对。配对后，与您近距离接触的攻击者可以使用他们的设备伪装成受影响的安全密钥，并在您被要求按下密钥上的按钮时连接到您的设备。之后，他们可能会尝试将其设备更改为蓝牙键盘或鼠标，并可能会对您的设备执行操作。

要确定您的密钥是否受到影响，请检查设备背面。如果您看到“T1”或“T2”，那么您的密钥会受到影响，您有资格获得免费更换。由于该错误仅影响蓝牙配对，因此安全密钥的非蓝牙版本不受影响。

谷歌云产品经理克里斯蒂安·布兰德表示，蓝牙泰坦安全密钥的当前用户应该继续使用它们等待更换，因为安全密钥可以提供最强大的防网络钓鱼保护。在这种情况下，安全问题不会影响设备的主要用途。

通过Shutterstock通过zimmytws提供图片