Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google roept alle Titan Security Key-hardwaresleutels terug vanwege lek

Google biedt alle gebruikers van de bluetooth-versie van zijn Titan Security Key een vervangend exemplaar aan, omdat het een kwetsbaarheid heeft gevonden die niet te repareren is. Door de kwetsbaarheid kan een aanvaller het usb-apparaat verbinden met eigen hardware.

De kwetsbaarheid zit in de software die zorgt voor de bluetooth-pairing van de Titan, zegt Google. Op het moment dat gebruikers op de knop drukken om te pairen, kan een aanvaller die binnen het bluetooth-bereik van het usb-apparaatje zit hem pairen met eigen hardware. Als die aanvaller ook beschikt over gebruikersnaam en wachtwoord van de gebruiker, kan die inloggen.

Ook kan een aanvaller zich voordoen als een Titan Security Key en pairen met het apparaat van de gebruiker, waarna die zich kan melden als een bluetooth-toetsenbord en dingen kan doen op het apparaat. De kwetsbaarheid is erin geslopen door een 'misconfiguratie' van het pairing-protocol. Gebruikers van de hardwaresleutel kunnen naar een site van Google om een vervangend exemplaar aan te vragen.

Dat vervangende exemplaar is nodig, want de hardwaresleutel werkt niet meer op iOS 12.3 en wordt onklaar gemaakt op Android met de komende patch van juni. Daardoor kunnen gebruikers niet meer in hun account. Het is onbekend hoeveel exemplaren van de Titan Security Key er in omloop zijn. Google verkoopt de sleutels op basis van de FIDO-standaard sinds de zomer van vorig jaar.

Door Arnoud Wokke

Redacteur mobile

15-05-2019 • 20:14

41 Linkedin Google+

Reacties (41)

Wijzig sortering
Als het goedkope ABS van de titan key is opgelost in aceton zie dat het een rebadged feitian exemplaar is.

http://hexview.com/~scl/titan/
Yup. Als je je comfortabel voelt bij proprietary closed source Chinese security, en ook nog eens BT, dan moet je dat ding vooral kopen. Ik verkies liever iets Europees zoals Yubikey (closed source, maar zeer goed trackrecord, en Europees mits je ze in Europa koopt), Nitrokey, of Solokey (Amerikaans, maar opensource; ondersteunt echter alleen U2F/FIDO2).

Overigs had Yubico al een tijd geleden een statement uitgebracht waarom zij bewust geen BT variant uitbrengen:
Google’s offering includes a Bluetooth (BLE) capable key. While Yubico previously initiated development of a BLE security key, and contributed to the BLE U2F standards work, we decided not to launch the product as it does not meet our standards for security, usability and durability. BLE does not provide the security assurance levels of NFC and USB, and requires batteries and pairing that offer a poor user experience.
https://www.yubico.com/2018/07/the-key-to-trust/

En ta-da: bijna een jaar later en Google moet al een recall doorvoeren. BT is simpelweg een rommeltje omtrent security. Is de exact reden waarom ik altijd huiver als ik mede-tweakers zie hunkeren naar draadloos alles, en het geweldig vinden om hun toetsenbord en muis draadloos te gebruiken. Voor simpele gadgets (denk niveau fitness trackers) is BT prima; voor HID en security apparaten moet je BT gewoonweg niet willen.
Ik werk zelf voor Feitian ( Ben verantwoordelijk voor Noord Europa). Dat het voor jou closed source is wil niet zeggen dat het ook voor google en andere grote partijen closed source is ;).

Google en andere grote spelers krijgen gewoon toegang tot de hardware en de source code ( wel onder een hele berg met NDA's).

Google heeft toen echt wel ze due dilligence gedaan en die hebben alles wel 5x na gelopen inclusief fysiek de fabrieken. Tevens voldoen meerdere van onze keys ook aan FIPS. De reden waarom niet alles FIPS is heeft te maken met de tijd die nodig is om iets gecertificeerd te krijgen ( 1-2 jaar en afhankelijk kost het ook nog zomaar een paar ton).

https://nl.wikipedia.org/...ation_Processing_Standard

Wijziging:
Het product is nog steeds geschikt om phishing tegen te gaan waar iemand niet fysiek in de buurt is en dus nog steeds veiliger dan geen 2fa. Alle klanten krijgen een nieuw product kosteloos opgestuurd waar de beveiliging wel op orde is.

Mijn excuses voor de mogelijke gedachte dat ik het probeer te bagatiliseren was niet mijn bedoeling.

Wijziging : Wil niet het minder erg laten blijken dan het is.

[Reactie gewijzigd door Zyphlan op 16 mei 2019 18:00]

Ik werk zelf voor Feitian ( Ben verantwoordelijk voor Noord Europa). Dat het voor jou closed source is wil niet zeggen dat het ook voor google en andere grote partijen closed source is ;).

Google en andere grote spelers krijgen gewoon toegang tot de hardware en de source code ( wel onder een hele berg met NDA's).
Dat was bij OpenVMS vroeger niet veel anders. Later kwam Microsoft met "shared source" wat op hetzelfde neerkomt. Het is nog steeds closed source volgens de OSI definitie.
Zoals andere al zeiden. Yubico heeft NFC ( hebben wij ook) en ook daar kun je dus in principe mee binnen komen.
Klopt, maar NFC heeft een veel minder groot bereik. Toch zijn er al criminelen die chipknip scammen.
Uiteindelijk is het beste inderdaad volledig niet draadloos maar als jij een partij tegen je hebt die de macht heeft om binnen 10 meter van je te komen
Met een richtantenne is het bereik veel groter dan 10 meter. Dat is niet ingewikkeld.
Ik woon zelf in China

Het is trouwens wel de eerste vraag die ik gesteld heb toen de headhunter aanklopte en ze hebben mijn twijfels weg genomen. En zoals ik al eerder zei : als jij een grote klant bent en bereid bent om een rits met NDA te tekenen dan krijg je gewoon toegang tot alles inclusief broncode ( weet niet of concurrenten dat ook doen)

Ik ben zelf geen fan om iets over yubico te zeggen aangezien ik het niet netjes vind om iets over een concurrent te zeggen wat niet op feiten gebaseerd is dus daar weerhoud ik me van.

Mijn excuses als ik het bagatiliseer was niet me bedoeling. Uiteindelijk is het een fout in bluetooth en is dat bij microsoft aan het licht gekomen en ook direct aangepakt. Ik wou meer duidelijk maken wat ook in de officiele brief staat dat niet in 1 klap alles op straat ligt en dat je de producten gewoon nog kunt gebruiken om phishing tegen te gaan totdat het nieuwe product komt. Meeste phishing aanvallen worden nou eenmaal niet door fysiek persoon uitgevoerd.

We hebben ook direct onze verantwoordelijkheid genomen : producten zijn direct op hold gezet voor verkoop en worden kosteloos vervangen en zodra het bekend was is alles gelijk in werking gebracht met google samen om te recallen ( uiteindelijk is een beveiligsproduct met een bekend lek niet iets wat wij ooit in de markt zullen laten zitten). Het gebeurt nog wel eens dat een klant per se een product wil hebben dat al niet meer veilig is ( bijv 20 jaar oud en word al niet meer verkocht) we geven dan ook duidelijk aan : je moet echt upgraden want dit is gewoon niet veilig.

Uiteraard zijn we er zelf ook niet blij mee maar ik wil alleen aangeven dat het niet in 1 klap betekend dat je hele beveiliging open ligt .

Echter wat voor bedrijf wij zijn valt me tegen aangezien als je de website had gekeken kun je zien dat we een hele rits aan producten verkopen en dat Fido slechts een onderdeel ervan is en ik gok dat 1 van onze producten ook binnen no time gekopieerd gaat worden door concurrenten aangezien het de volgende stap van inloggen is en wij de eerste zijn.

Helaas part of the game maar zorgen dat je innovatief blijft is van het grootste belang en 500 man R&D zorgen daar voor .

Ik spreek trouwens op persoonlijke titel aangezien ik al lang lid van tweakers ben en ik vind het niet netjes om dan in 1 klap me mond dicht te houden zodra het over mijn werkgever gaat ipv uitleg te geven. ik verwijs je naar de officiele tekst die google en Feitian hebben gepublished dat is het officiele bedrijf antwoord en ik gok eerlijk gezegd dat yubico het niet anders aangepakt had.

Uiteindelijk is het als chinees bedrijf van belang om openheid te geven aangezien we de schijn tegen hebben.

Wijziging :
Van de website:

Being a leader in the IP protection technology and IT security development, Feitian has focused on innovation and IP protection for years. Currently, we have in excess of over 300 patents both domestically and internationally.

These cover the spectrum of software protection, authentication and identification, smartcard applications to OTP products.

[Reactie gewijzigd door Zyphlan op 16 mei 2019 18:07]

Da's jammer, maar het is ook niet te verwachten dat draadloos pairen 100% tamper proof is. Gelukkig moet je al een wachtwoord+username van iemand hebben, gespecialiseerde hardware, en vlakbij de persoon / key in kwestie zijn. Begint al te klinken als een Mission Impossible achtige maneuvre.

Kan zoiets soortgelijks ook gebeuren met de Yubikey? Ik denk dat er onder tweakers veel van die dingen in omloop zijn.
Met de NFC variant kan het in theorie misbruikt worden (dus: terwijl je in range bent met gespecialiseerde hardware), maar alleen als je de gebruiker ook op de knop laat drukken terwijl die zelf de key niet gebruikt (onwaarschijnlijk dus).
NFC staat dan wel voor Near Field Communication. Normaliter komt dat neer op een centimeter of 10. Dat moet je dus min of meer wel opvallen.

Bij Bluetooth gaat het bereik tot een meter of 10 dus is de kans groter dat de aanvaller wat verder weg zit en minder opvalt.
Of, als je gespecialiseerde hardware hebt zodat je eerder in range bent, bijv. enkele meters. Daar worden bijv. afgedankte NFC modules van commerciële parkeergarages voor gebruikt, die hebben ook NFC, maar dan met een veel grotere antenne en hardware die communicatie op langere afstanden mogelijk maakt met normale NFC setups. Die kan je in het formaat aktetas meeslepen; dat soort zaken zijn niet nieuw, ergens 2 of 3 DEF CON jaren terug gepresenteerd. In dezelfde track waren hardware hacks om bijv. hetzelfde te doen met Logitech wireless dongles zodat je op grotere afstanden keylogging kan doen (of aanslagen/muisbewegingen kan injecteren). Voor non-NFC RFID badges is het nog makkelijker om dat er nauwelijks stroom nodig is om ze uit te lezen, gaat de accu van je hack-zender ook langer mee :p
Welke knop? Naar mijn weten hoef je echt geen knop in te drukken als je jouw NFC Yubikey tegen een reader aanhoudt.
  • Voor U2F moet iemand nog steeds je gebruikersnaam en wachtwoord weten.
  • Voor FIDO2 moet iemand je PIN weten.
  • Voor challenge-response modus heb ik geen idee. Lijkt mij dat een kwaadwillende een relay attack kan uitvoeren.
  • Zelfde verhaal voor smartcard (PIV) als voor challenge-response.
  • Statisch wachtwoord modus werkt niet over NFC, dus geen issue.
  • Zelfde verhaal voor PGP als voor challenge-response en smartcard.
  • Geen idee wat betreft Yubico OTP; nooit een reden gehad om te gebruiken.
  • Voor OATH-(T/H)OTP kan je instellen dat een wachtwoord is vereist om creds uit te lezen op een nieuw apparaat.
Mis ik iets?

Dat is wat ik mis: een fysieke knop op de NFC variant van de Yubikey, dat wanneer de knop niet ingedrukt is, het NFC circuit open is, en je dus de knop moet indrukken om het te sluiten wanneer je de key wilt gebruiken. Een andere methode zie ik niet gebeuren, want dan moet er een batterij in de Yubikey worden geplaatst. Dit is de reden waarom ik alleen maar niet-NFC Yubikeys gebruik. Daarnaast is het gemak van NFC een beetje overdreven: als je achter je PC zit sluit je 'm een keer aan, en laat je 'm tijdens je hele sessie aangesloten totdat je ooit naar het toilet moet of o.i.d., en voor een telefoon hoef je 'm normaliter zelden te gebruiken, omdat je meestal toch binnen de apps en sites ingelogd blijft, dat het voor die paar keer dat je jouw Yubikey nodig hebt het maar een kleine moeite is om 'm in je USB poort te steken.
PIN is optioneel in FIDO2, het is een Microsoft-eis die het verplicht stelt voor hun use cases. Voor passwordless multi-factor login met user verification kan bijv. een vingerafdruk ook :)
Daarnaast is het gemak van NFC een beetje overdreven: als je achter je PC zit sluit je 'm een keer aan
Dat is net zoiets als "Het gebruik van een vork is overdreven: als je je soep eet dan valt al het vocht weer naar beneden."

NFC zit er op omdat het handig is met mobiele apparaten.

Een alternatief is OTG kabel. Da's omslachtig kan ik je vertellen.

Verder is NFC moeilijker met een richtantenne af te luisteren dan Bluetooth.
en voor een telefoon hoef je 'm normaliter zelden te gebruiken [...] dat het voor die paar keer dat je jouw Yubikey nodig hebt het
Aanname. Als je je YubiKey weinig gebruikt is een OTG kabel een mogelijke oplossing.
Het is puur bluetooth en yubikey levert ze niet met bluetooth.


Wijziging:
Te bagalliserende stukje verwijderd om misverstanden te voorkomen.

[Reactie gewijzigd door Zyphlan op 16 mei 2019 17:56]

Volgens Wikipedia zou bij passieve NFC met speciale apparatuur afluisteren mogelijk zijn op afstand van maximaal 1 meter (wat ik denk dat die yubikey is, want daar zit volgens mij geen batterij in). Met actieve NFC (bijv. tussen twee mobieltjes) is de communicate op te vangen tot 10 meter.
Yubikey is een USB stick met een sensortje waar je met je vinger contact mee moet maken om hem te activeren als daarom gevraagd wordt (puur om het een manueel proces te maken, zit geen vingerafdruk herkenning op). Dan kun je die stick in je pc laten zitten en als er iets geverifieerd moet worden doe je dat fysiek door de stick aan te raken in plaats van via software.
Ik heb wel eens naar het protocol van OpenPGP gekeken (om een SSH client te maken die met Yubikeys kon inloggen), en dat stuurde de PIN van de smartcard (en yubikey) in plaintext in de APDU pakketjes. Ik denk ook dat dit komt doordat het OpenPGP smartcard protocol in eerste instantie bedacht is voor traditionele smartcard readers met een metalen contactpad waar dit minder een probleem is (alhoewel nog steeds wel een probleem met een 'valse' reader).

Dus ik denk dat als je er in slaagt om dit af te luisteren, het wel kan kan. Je moet wel alsnog de yubikey stelen, maar het moeilijkste (de pincode met max. 3 pogingen) heb je dan al binnen. Maar, NFC is geen gewone radioverbinding. Het is een wisselend magnetisch veld dat veel lastiger af is te luisteren.

De andere protocollen zoals PIV en FIDO heb ik overigens niet bekeken.

[Reactie gewijzigd door GekkePrutser op 15 mei 2019 23:48]

Ook Feitian heeft dit probleem in batch 1,2,3
https://www.ftsafe.com/replacement

[Reactie gewijzigd door El Chaoto op 16 mei 2019 05:05]

Correct. Mocht je een product van ons hebben dan word deze kosteloos vervangen.

Voor bedrijven kunnen deze contact opnemen met de sales manager om de replacements te regelen en alle b2b klanten krijgen nog een email om ze erop te wijzen.
Het is geen wachtwoordmanager.
Nee, het is gewoon een FIDO key voor 2FA.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Games

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True