Google vraagt gebruikers van de bluetooth-versie van zijn Titan Security Key om deze in te leveren, in ruil voor een gratis nieuw exemplaar. De securitysleutels bevatten een onherstelbaar lek dat aanvallers potentieel toegang geeft tot het account of toestel van een slachtoffer.
Het probleem zit alleen in de bluetooth-versie van de Titan Security Key en heeft te maken met een “misconfiguratie” in het protocol dat wordt gebruikt voor de bluetoothkoppeling. USB-en NFC-sleutels zonder bluetooth zijn dus niet getroffen.
Het lek werd ontdekt door Microsoft, dat zijn ontdekking aan Google en andere betrokken partijen heeft bekendgemaakt. Feitian, dat de hardwaresleutels voor Google maakt, maar eveneens sleutels onder eigen naam verkoopt, maakte het bestaan van de kwetsbaarheid gelijktijdig met Google bekend. Het bedrijf biedt eveneens een inruilprogramma aan.
Misbruik moeilijk
Er zijn twee mogelijke manieren waarop een aanvaller de kwetsbaarheid kan misbruiken. Allebei de methoden zijn niet zo eenvoudig en vereisen dat de aanvaller zich fysiek binnen het bluetooth-bereik van ongeveer 9 meter bevindt. In een eerste scenario kan een aanvaller proberen verbinden met de bluetooth-sleutel van een slachtoffer, in de korte tijdsspanne nadat de sleutel werd geactiveerd en voor de verbinding met het apparaat van het slachtoffer tot stand komt.
Het tweede scenario werkt alleen wanneer je de sleutel voor de eerste keer koppelt aan een toestel. Een aanvaller zou met een eigen apparaat de sleutel kunnen nabootsen en zo bluetooth-toegang krijgen tot het toestel van het slachtoffer, wanneer de verbinding wordt opgezet. Daarna kan hij doen uitschijnen dat zijn neppe sleutel eigenlijk een toetsenbord of muis is, om zo acties uit te voeren op het systeem.
Een aanvaller moet zich dus bewust zijn van de kwetsbaarheid, de juiste software hebben om het te misbruiken en zijn aanval perfect timen om succesvol te zijn. Dat maakt aanvallen erg moeilijk, maar gezien de hoge security-standaard waar hardwaresleutels aan moeten voldoen, maakt Google de juiste beslissing door de sleutels terug te roepen.
Inruilen
Het lek kan niet via een update worden hersteld, omdat de software op securitysleutels uit veiligheidsoverwegingen niet kan worden aangepast. Bij de getroffen Titan Security Keys staat op de achterkant onderaan de code ‘T1’ of ‘T2’. Deze sleutels komen in aanmerking om ingeruild te worden voor een gratis nieuw exemplaar.
Google benadrukt dat de kwetsbaarheid het primaire doel van de sleutels, namelijk beschermen tegen phishing, niet in de weg staat. “Het is nog steeds veiliger om een sleutel te gebruiken die dit probleem heeft, in plaats van sleutelgebaseerde tweestapsverificatie uit te schakelen op je Google-account of te downgraden naar minder phishing-resistente methoden (e.g. sms-codes of prompts die naar je apparaat worden verzonden)”, zegt Christiaan Brand van Google in een blogpost.
Gerelateerd: Hoe Google phishing volledig heeft uitgeroeid bij al zijn werknemers