Google(グーグル)は米国時間5月15日、Bluetoothによるセキュリティキー「Titan」が、物理的に近い場所から攻撃者によってセキュリティを迂回される危険があると発表した。このバグは、「TitanのBluetoothペアリングのプロトコルにおけるセキュリティキーの設定ミス」によるもので、不完全なキーでもフィッシング攻撃を防げるものの、すべての顧客への無料リコールを実施することになる。
このバグの影響を受けるのは、背面に「T1」あるいは「T2」の表記がある製品だ。なお、TitanはUSB/NFCに対応したBluetoothキーで、50ドル(約5400円)にて販売されている。
このバグでは、攻撃者はBluetoothの範囲内(約30フィート、9.1m)にてキーのボタンを押してアクティブにする際に、すばやく行動する必要がある。そして誤った設定のプロトコルを利用し、本来のデバイスに接続する前に自分のデバイスに接続させる。次に、自分のユーザーネームとパスワードにて、アカウントにサインインするのだ。
Googleはキーを使用する前に、自分のデバイスとペアリングする必要があると説明している。しかし攻撃者はバグを利用し、ボタンを押した際に自分のデバイスへと接続させるように偽造することができる。そして攻撃者は自分のデバイスをキーボードやマウスのように変更し、例えばラップトップをリモート
コメント