Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google roept alle Titan Security Key-hardwaresleutels terug vanwege lek

Google biedt alle gebruikers van de bluetooth-versie van zijn Titan Security Key een vervangend exemplaar aan, omdat het een kwetsbaarheid heeft gevonden die niet te repareren is. Door de kwetsbaarheid kan een aanvaller het usb-apparaat verbinden met eigen hardware.

De kwetsbaarheid zit in de software die zorgt voor de bluetooth-pairing van de Titan, zegt Google. Op het moment dat gebruikers op de knop drukken om te pairen, kan een aanvaller die binnen het bluetooth-bereik van het usb-apparaatje zit hem pairen met eigen hardware. Als die aanvaller ook beschikt over gebruikersnaam en wachtwoord van de gebruiker, kan die inloggen.

Ook kan een aanvaller zich voordoen als een Titan Security Key en pairen met het apparaat van de gebruiker, waarna die zich kan melden als een bluetooth-toetsenbord en dingen kan doen op het apparaat. De kwetsbaarheid is erin geslopen door een 'misconfiguratie' van het pairing-protocol. Gebruikers van de hardwaresleutel kunnen naar een site van Google om een vervangend exemplaar aan te vragen.

Dat vervangende exemplaar is nodig, want de hardwaresleutel werkt niet meer op iOS 12.3 en wordt onklaar gemaakt op Android met de komende patch van juni. Daardoor kunnen gebruikers niet meer in hun account. Het is onbekend hoeveel exemplaren van de Titan Security Key er in omloop zijn. Google verkoopt de sleutels op basis van de FIDO-standaard sinds de zomer van vorig jaar.

Door Arnoud Wokke

Redacteur mobile

15-05-2019 • 20:14

41 Linkedin Google+

Reacties (41)

Wijzig sortering
Erg tof dat je hier je loonverstrekker wilt verdedigen, maar het is vrijwel onmogelijk voor jou in jouw positie om te weten of er wel/geen backdoor op de sleutels aanwezig is, omdat het hoofdkantoor in China staat en daar dus het beleid wordt bepaalt. En ga niemand wijsmaken dat een backdoor niet een realistisch scenario is, want iedereen met een beetje kennis van zaken omtrent politiek binnen China weet dat de CCP als norm heeft om een CCP geaffilieerde cel binnen elk hoog profiel van 'economisch strategisch belang' bedrijf te hebben. En als er nu geen backdoors zijn, dan wel morgen wanneer iedereen gewend is geraakt aan Chinese security producten. Wat dit laatste overigens prima past in de CCPs trage lange termijn strategie voor dominantie.
Google heeft toen echt wel ze due dilligence gedaan en die hebben alles wel 5x na gelopen inclusief fysiek de fabrieken. Tevens voldoen meerdere van onze keys ook aan FIPS. De reden waarom niet alles FIPS is heeft te maken met de tijd die nodig is om iets gecertificeerd te krijgen ( 1-2 jaar en afhankelijk kost het ook nog zomaar een paar ton).
Ja, en Google heeft de eigen firmware geschreven voor jullie keys. Zolang Google niet de keys zelf produceert, is het gewoon een open deur dat altijd kan worden misbruikt. Vandaar dat Yubico alle keys in house produceert (oké, in ieder geval assembleert). Overigens zegt FIPS bar weinig over het vertrouwen dat men in een security product moet hebben, behalve dat het prettig klinkt voor bedrijven en overheden.

Overigens zijn een aantal van jullie sleutels 1:1 kopieën van de Yubikeys. Zowel qua layout als qua interne hardware. Niet dat dat qua security relevant is, maar het geeft wel een hint wat voor een soort bedrijf jullie zijn.

Als laatst: het lijkt erop dat deze BT hack relatief gemakkelijk is om uit te voeren. Mijn mond valt open hoe snel jij bereidt bent om het te bagatelliseren dat alleen skilled hacker (staats of blackhat) hier achteraan zou kunnen gaan. Als een hack eenmaal een hoog genoeg profiel heeft, dan volgen de guides snel op GitHub o.i.d. waar zelfs menig puber in een pestbui mee aan de haal kan.
Overigens hoeft die echt niet gericht te zijn. WiFi aanvallen via Pineapples waren ook nooit gericht, maar de kwaadwillende schuift lekker aan op een terrasje of bevindt zich tijdens de spits in het OV en monitoort de ether naar mogelijk doelwitten. Met een beetje inzicht zie je dat deze BT hack serieus te nemen is. Yubico zou deze kwetsbaarheid nooit zo hebben afgedaan als dat jij (Feitian) nu doet (want, zoals gezegd, produceren ze niet eens een BT model specifiek vanwege de security implicaties van BT). En ook Google is het blijkbaar niet eens met jou statement, gezien de recall.
Dat klopt, en die vulnerabilities zijn ernstig, maar dan nog is het makkelijker om hetzelfde geintje bij Bluetooth klaar te spelen. Die is standaard 10 meter ipv 10 cm.
Juist niet, bij bluetooth is er rotating encryption, moeilijke radio technologie enz. BTLE is weer een ander verhaal.
Bluetooth pairing is lachwekkend makkelijk te MITMen.
Pairing ja, zoals dat hier ook een probleem is. Maar ik had het niet over pairing, maar over data tappen.
Alsof het dan ineens veel ingewikkelder wordt. Als je de frequentie jammed, kun je de gebruiker dwingen om opnieuw te pairen.
'de frequentie' bestaat niet, er is een complete frequentieband waarin zich een stukje communicatie tijdelijk kan bevinden. Of je moet meehoppen of je moet de hele band jammen. In allebei de gevallen maak je alleen de communicatie moeilijk of onmogelijk, dit doet helemaal niks met pairen of unpairen. Pairen is dan ook niet waar dit subdraadje over gaat zoals ik eerder schreef.

Of je weet niet waar je het over hebt, of je weet het beter dan iedereen. In het laatste geval zou ik je aanraden om dan een presentatie in te dienen bij Black Hat of DEF CON want blijkbaar zijn de gespecialiseerde red team tools niet nodig. https://www.youtube.com/watch?v=VHJfd9h6G2s
In allebei de gevallen maak je alleen de communicatie moeilijk of onmogelijk, dit doet helemaal niks met pairen of unpairen
Jawel, de gebruiker zal als gevolg er van opnieuw proberen te pairen.
Of je weet niet waar je het over hebt, of je weet het beter dan iedereen. In het laatste geval zou ik je aanraden om dan een presentatie in te dienen bij Black Hat of DEF CON want blijkbaar zijn de gespecialiseerde red team tools niet nodig
Er zijn genoeg mensen die er meer verstand van hebben dan het niveau van Black Hat of Def Con.

Voorbeeld:
Here is the blanket statement I would make: if it is critical that the channel be kept secure, don’t rely on (your hardware manufacturers’) implementation of Bluetooth encryption. That would be stupid and dangerous. If you’re just listening to music, go for it.
https://twitter.com/matth...tatus/1128702003524374534

Het feit dat mensen het gebruiken betekent nog niet dat het veilig is; het betekent wel dat je weerstand zult krijgen wanneer je aangeeft dat het onveilig is.
Op een telefoon niet...
Dat zou het wel moeten zijn.
Je vingerafdruk (of je face-recognition) vervangt toch je code/wachtwoord? Op een telefoon tenminste... dan is het toch geen username?
Er zijn diverse aanvallen bekend. In ieder geval false positives, maar ook kopieren/replica. Gezien je je vingerafdruk overal achterlaat, en hij eenvoudig te kopieren is, is het een gebruikersnaam; geen wachtwoord. Hetzelfde geldt, hetzij in mindere mate (omdat het iets moeilijker is om na te maken), voor FaceID, en zelfs aders zijn eenvoudig na te maken (zoals je kon zien op een demo @ 35C3). Tenslotte kun je worden gedwongen om dit alles af te staan door de uitvoerende macht. Inclusief de douane.
Ik begrijp je insteek, je kijkt ook wat verder dan ik zou doen. Top!
Met een beetje creativiteit heb je geen kabel nodig. Koop gewoon de Nanos en zoek op ali een adapter naar keuze.
Wat voor adapter?
Ligt eraan voor welke poort. Zoek gewoon op ali naar een adapter. Bijvoorbeeld "USB-A to USB-C adapter".
oh is dat wat je bedoeld. Adapter of kabel vind ik potato/potato.
Maar het is geen kabel...
Dat is waar. In sommige situaties is een kabel fijner, in andere situaties een adapter.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Huawei P30 Pro

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True