在去年7月一場華麗的推出后，谷歌今天宣布，由于該公司在按鍵的藍牙配對過程中發(fā)現(xiàn)的漏洞，它將取代Titan安全密鑰。谷歌表示，安全漏洞允許攻擊者接管用戶的設(shè)備和/或登錄用戶的帳戶，盡管在某些條件下密鑰應(yīng)該是安全的。擁有可通過藍牙與設(shè)備配對(連接)的Titan安全密鑰的所有用戶現(xiàn)在都有資格免費更換沒有藍牙功能的Titan安全密鑰不受影響，例如那些通過NFC或USB工作的安全密鑰。藍牙功能的Titan密鑰的所有者可以訪問此頁面以查看他們的設(shè)備是否容易受到攻擊，他們將收到有關(guān)如何申請和接收替換設(shè)備的說明。

“如果密鑰背面有'T1'或'T2'，那么你的密鑰會受到問題的影響而且有資格免費更換，”谷歌今天在一篇博文中表示。

谷歌的Titan品牌鑰匙僅在美國銷售。同樣的鑰匙在其他國家以其原有的飛天品牌銷售。谷歌發(fā)言人告訴ZDNet，非美國用戶可以使用相同的google.com/replacemykey頁面檢查他們的飛天鍵是否受到影響，但如果用戶受到影響并有資格獲得新密鑰，飛天將負責替換流程。

安全漏洞

據(jù)Google稱，安全漏洞是由于“Titan Security Keys的藍牙配對協(xié)議配置錯誤”。

這個漏洞可以被實際存在(在大約30英尺內(nèi))Titan用戶的攻擊者利用，并且當用戶正常使用該密鑰時，或者當他們第一次將其與他們的計算機配對時。

例如，當用戶首先將他們的Titan安全密鑰與其設(shè)備配對時，攻擊者可以利用藍牙配對協(xié)議中的缺陷來劫持此過程，并將惡意藍牙設(shè)備與用戶的計算機配對。攻擊者稍后可以將此惡意設(shè)備重新分配為藍牙鍵盤，以后他們可以使用它來運行惡意命令來劫持用戶的設(shè)備。

此外，當設(shè)備所有者按下Titan安全密鑰上的激活按鈕以登錄在線帳戶時，攻擊者還可以授權(quán)惡意設(shè)備訪問該帳戶 - 只要攻擊者也擁有有效密碼即可。

GOOGLE：用戶應(yīng)繼續(xù)使用密鑰

正是由于這些原因，谷歌正在取代這些密鑰。但是，該公司建議用戶在獲得替換之前不要停止使用密鑰，因為與不使用安全密鑰相比，他們可以提供增強的安全性。

“使用具有此問題的密鑰仍然更安全，而不是在您的Google帳戶上關(guān)閉基于安全密鑰的兩步驗證(2SV)或降級為更少的防網(wǎng)絡(luò)釣魚方法(例如發(fā)送給您的短信代碼或提示設(shè)備)，“谷歌說。

谷歌去年7月宣布推出Titan安全密鑰。該公司針對故障藍牙供電的Titan安全密鑰的所有者發(fā)布了以下建議，直到更換到貨。

iOS設(shè)備：

在運行iOS 12.2或更早版本的設(shè)備上，我們建議您將受影響的安全密鑰用于潛在攻擊者不在物理上接近(大約30英尺)的私人場所。在您使用密鑰在設(shè)備上登錄Google帳戶后，請立即取消配對。在等待更換時，您可以再次以這種方式使用密鑰，直到您更新到iOS 12.3。

更新到iOS 12.3后，受影響的安全密鑰將不再有效。您將無法使用受影響的密鑰登錄自己的Google帳戶或受密鑰保護的任何其他帳戶，并且您需要訂購替換密鑰。如果您已在iOS設(shè)備上登錄自己的Google帳戶，請不要注銷，因為在獲得新密鑰之前您將無法再次登錄。如果您在更換密鑰到達之前鎖定了iOS設(shè)備上的Google帳戶，請參閱這些說明以重新訪問您的帳戶。請注意，您可以繼續(xù)在非iOS設(shè)備上登錄Google帳戶。

在Android和其他設(shè)備上：

我們建議您將受影響的安全密鑰用于潛在攻擊者不在物理上接近(大約30英尺)的私人場所。在您使用受影響的安全密鑰登錄Google帳戶后，請立即取消配對。使用即將到來的2019年6月安全補丁級別(SPL)更新的Android設(shè)備將自動取消受影響的藍牙設(shè)備，因此您無需手動取消配對。您還可以繼續(xù)使用Android上支持的USB或NFC安全密鑰，但不受此問題的影響。