Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Logo ITMidia
Logo ComputerWorld
Logo PCWorld
Logo CIO
Logo ITForum
Salvar em Nova pasta de favoritos

+

Criar pasta
Últimos favoritos Ver todos
Últimas notícias do conteúdo : Ver todos
Google faz recall de chave de segurança após descobrir vulnerabilidade
Google faz recall de chave de segurança após descobrir vulnerabilidade
Home > Mobilidade

Google faz recall de chave de segurança após descobrir vulnerabilidade

Chave de autenticação de dois fatores não se mostrou tão segura assim. Companhia confirmou falha e informou que irá substituir dispositivos

Michael Simon, PC World (EUA)

16/05/2019 às 8h00

Foto: Reprodução

O Google conta com uma chave física de autenticação de dois fatores, a Titan Security Keys, que, na teoria, deve assegurar as informações de usuários. Caso você a use, provavelmente, você confiará que sua conta está tão segura quanto possível. Em seu site, o Google promete que as chaves de segurança Titan "têm o mesmo nível de segurança usado internamente no Google" e "impede que alguém tenha acesso a suas contas on-line".

Mas em um post em seu blog de segurança, o Google divulgou nessa quarta-feira (15) que descobriu uma "configuração incorreta" com a versão Bluetooth Low Energy de sua chave de segurança Titan que poderia permitir que um invasor próximo "se comunicasse com sua chave de segurança ou se comunicasse com o dispositivo" a qual a sua chave está emparelhada.

Como o Google explica, há duas maneiras de um atacante agir. Ao emparelhar a chave com seu PC ou telefone, alguém pode “potencialmente conectar seu próprio dispositivo à sua chave de segurança afetada antes que seu próprio dispositivo se conecte (e) faça login em sua conta usando seu próprio dispositivo se o invasor já tiver obtido seu nome de usuário e senha poderia cronometrar esses eventos exatamente.

Além disso, se você estiver usando o dispositivo para obter autenticação, um invasor “poderia usar seu dispositivo para se mascarar como sua chave de segurança afetada e se conectar ao seu dispositivo no momento em que você for solicitado a pressionar o botão na sua chave. Depois disso, eles poderiam tentar alterar o dispositivo para aparecer como um teclado ou mouse Bluetooth e possivelmente executar ações no aparelho.”

O que isso significa para você

Embora, certamente, seja um caso raro - como é uma chave Bluetooth, um atacante precisaria estar a cerca de um metro de você quando você pressionar o botão - ainda é alarmante para qualquer pessoa que tenha comprado uma Chave de Segurança.

Em vez de tentar corrigir a vulnerabilidade via software, o Google substituirá todas as chaves de segurança afetadas gratuitamente. No caso do mercado brasileiro, a companhia não lançou o dispositivo. Caso você tenha comprado fora do País, para verificar se a sua chave está entre as unidades afetadas, observe o pequeno número acima da porta USB na parte traseira. Se ele ler T1 ou T2, sua chave precisa ser substituída.

O Google recomenda o uso da autenticação de segurança baseada em NFC ou USB até a chegada da substituição, pois esses métodos não são afetados pelo problema. Além disso, o próximo patch de segurança de junho de 2019 para dispositivos Android desconectará automaticamente as chaves de segurança Bluetooth afetadas para eliminar o risco de ataque.

Todos os usuários afetados podem solicitar uma substituição gratuita visitando google.com/replacemykey.

 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail
Vai um cookie?

A IT Mídia usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Ir para o site