Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google roept alle Titan Security Key-hardwaresleutels terug vanwege lek

Google biedt alle gebruikers van de bluetooth-versie van zijn Titan Security Key een vervangend exemplaar aan, omdat het een kwetsbaarheid heeft gevonden die niet te repareren is. Door de kwetsbaarheid kan een aanvaller het usb-apparaat verbinden met eigen hardware.

De kwetsbaarheid zit in de software die zorgt voor de bluetooth-pairing van de Titan, zegt Google. Op het moment dat gebruikers op de knop drukken om te pairen, kan een aanvaller die binnen het bluetooth-bereik van het usb-apparaatje zit hem pairen met eigen hardware. Als die aanvaller ook beschikt over gebruikersnaam en wachtwoord van de gebruiker, kan die inloggen.

Ook kan een aanvaller zich voordoen als een Titan Security Key en pairen met het apparaat van de gebruiker, waarna die zich kan melden als een bluetooth-toetsenbord en dingen kan doen op het apparaat. De kwetsbaarheid is erin geslopen door een 'misconfiguratie' van het pairing-protocol. Gebruikers van de hardwaresleutel kunnen naar een site van Google om een vervangend exemplaar aan te vragen.

Dat vervangende exemplaar is nodig, want de hardwaresleutel werkt niet meer op iOS 12.3 en wordt onklaar gemaakt op Android met de komende patch van juni. Daardoor kunnen gebruikers niet meer in hun account. Het is onbekend hoeveel exemplaren van de Titan Security Key er in omloop zijn. Google verkoopt de sleutels op basis van de FIDO-standaard sinds de zomer van vorig jaar.

Door Arnoud Wokke

Redacteur mobile

15-05-2019 • 20:14

41 Linkedin Google+

Reacties (41)

Wijzig sortering
Yup. Als je je comfortabel voelt bij proprietary closed source Chinese security, en ook nog eens BT, dan moet je dat ding vooral kopen. Ik verkies liever iets Europees zoals Yubikey (closed source, maar zeer goed trackrecord, en Europees mits je ze in Europa koopt), Nitrokey, of Solokey (Amerikaans, maar opensource; ondersteunt echter alleen U2F/FIDO2).

Overigs had Yubico al een tijd geleden een statement uitgebracht waarom zij bewust geen BT variant uitbrengen:
Google’s offering includes a Bluetooth (BLE) capable key. While Yubico previously initiated development of a BLE security key, and contributed to the BLE U2F standards work, we decided not to launch the product as it does not meet our standards for security, usability and durability. BLE does not provide the security assurance levels of NFC and USB, and requires batteries and pairing that offer a poor user experience.
https://www.yubico.com/2018/07/the-key-to-trust/

En ta-da: bijna een jaar later en Google moet al een recall doorvoeren. BT is simpelweg een rommeltje omtrent security. Is de exact reden waarom ik altijd huiver als ik mede-tweakers zie hunkeren naar draadloos alles, en het geweldig vinden om hun toetsenbord en muis draadloos te gebruiken. Voor simpele gadgets (denk niveau fitness trackers) is BT prima; voor HID en security apparaten moet je BT gewoonweg niet willen.
Of, als je gespecialiseerde hardware hebt zodat je eerder in range bent, bijv. enkele meters. Daar worden bijv. afgedankte NFC modules van commerciële parkeergarages voor gebruikt, die hebben ook NFC, maar dan met een veel grotere antenne en hardware die communicatie op langere afstanden mogelijk maakt met normale NFC setups. Die kan je in het formaat aktetas meeslepen; dat soort zaken zijn niet nieuw, ergens 2 of 3 DEF CON jaren terug gepresenteerd. In dezelfde track waren hardware hacks om bijv. hetzelfde te doen met Logitech wireless dongles zodat je op grotere afstanden keylogging kan doen (of aanslagen/muisbewegingen kan injecteren). Voor non-NFC RFID badges is het nog makkelijker om dat er nauwelijks stroom nodig is om ze uit te lezen, gaat de accu van je hack-zender ook langer mee :p


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Huawei P30 Pro

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True