O Google admitiu ontem (15) por meio de uma nota em seu blog sobre segurança que há uma vulnerabilidade em sua chave física de segurança, a Titan Security Key. Segundo a empresa, um problema de configuração nos protocolos de pareamento Bluetooth do dispositivo permitiriam ataques a partir de fontes fisicamente próximas à chave de segurança.
Para realizar o ataque, uma pessoa precisaria estar dentro do raio de alcance do Bluetooth da chave e, assim que o usuário pressiona o botão para acessar seus dispositivos com segurança, ela pode interferir nessa comunicação e usar o erro de configuração do dispositivo para pareá-lo com um aparelho que possui. Esse pareamento permite que a Titan Security Key seja usada no aparelho do invasor para acessar a conta Google da vítima
O problema é preocupante, mas ainda há outras barreiras de segurança que impedem um invasor de acessar diretamente a conta da vítima
Outra maneira de se aproveitar dessa vulnerabilidade é interferir no momento em que a Titan Security Key é pareada com o celular do usuário usando um dispositivo que vai se passar pela chave física e permitir que o invasor controle remotamente as ações em um smartphone ou notebook — como se fosse, por exemplo, um teclado ou mouse Bluetooth.
Segundo o Google, o problema é preocupante, mas ainda há outras barreiras de segurança que impedem um invasor de acessar diretamente a conta da vítima, como a necessidade de conhecer nome de login e senha.
Como eu sei se fui afetado?
Para saber se a sua Titan Security Key é afetada pelo problema, procure na parte traseira da chave pelas marcas T1 ou T2. Caso encontre alguma das duas, você deve remover o pareamento da chave com seu smartphone — tomando o cuidado de fazer esse acesso para desconexão em um lugar privado e onde não houver ninguém no alcance do Bluetooth, que tem um raio de cobertura de cerca de 10 metros. Dispositivos Android atualizados com o patch de correção de segurança de junho de 2019 vão desativar automaticamente os dispositivos Bluetooth afetados, assim você não precisa desconectar manualmente.
O Google se prontificou a substituir gratuitamente as Titan Security Keys que forem afetadas por esse problema. Para iniciar o procedimento de troca, basta acessar este link e logar na conta Google que está vinculada à chave. A própria página vai confirmar se existe a necessidade da substituição ou não.
Fontes
Categorias