SIKKERHET

Google advarer mot sårbarhet i selskapets egen sikkerhetsnøkkel

Tilbyr kunder å bytte den inn.

Det er Bluetooth-utgaven av Google Titan Security Key som er sårbar for en viss type angrep.
Det er Bluetooth-utgaven av Google Titan Security Key som er sårbar for en viss type angrep. Illustrasjon: Google
Harald BrombachHarald BrombachNyhetsleder
16. mai 2019 - 20:00

Google har oppdaget en sikkerhetsfeil i Bluetooth Low Energy-utgaven av selskapets Titan Security Key. I utgangspunktet selges sikkerhetsnøkkelen kun i USA, men mange har nok også funnet veien til andre land, inkludert Norge. 

Feilen er knyttet til Bluetooth-paring og gjør det mulig for angripere å kommunisere med både sikkerhetsnøkkelen og enheten den er paret med, dersom angriperen er fysisk i nærheten av sikkerhetsnøkkelen. Google oppgir at dette kan være inntil ni meter. 

Når brukeren forsøker å logge seg på et nettsted og trykker på knappen på nøkkelen for å bekrefte dette, kan det hende at dette samtidig bekrefter angriperens innlogging på den samme kontoen. Dette forutsetter dog at angriperen kjenner både brukernavnet og passordet til kontoen, samt er i stand til å koordinere sin innlogging med innloggingen til offeret. 

– Fortsatt sikrere enn annen 2FA

Ifølge Google forhindrer ikke sikkerhetsfeilen hovedhensikten med nøkkelen, nemlig å beskytte mot phishingforsøk fra en angriper som befinner seg langt borte. Google fraråder derfor at brukerne slutter å bruke nøkkelen, siden den uansett anses som sikrere enn andre autentiseringsmetoder. Men det finnes tilsvarende produkter også fra andre leverandører.

Titan Security Key som er merket med T1 eller T2 er berørt av sikkerhetsfeilen. <i>Foto: Google</i>
Titan Security Key som er merket med T1 eller T2 er berørt av sikkerhetsfeilen. Foto: Google

Men selskapet anbefaler at sikkerhetsnøkkelen og mobilen kobles fra hverandre etter hver innlogging. I sikkerhetsoppdateringen som Google skal utgi i begynnelsen av juni, vil det være inkludert funksjonalitet som sørger for at berørte Bluetooth-enheter automatisk kobles fra hverandre.

Brukere som har knyttet den aktuelle sikkerhetsnøkkelen til Google-kontoen sin, kan be om å få tilsendt en gratis erstatning

USB- og NFC-variantene av Titan Security Key er ikke berørt av sårbarheten.

Google skal ha sluttet å selge Titan Security Key tidligere i år. Det er uklart om det har sammenheng med sikkerhetsfeilen som nå er offentliggjort.

Bakgrunn: Her er Googles nye «våpen» mot svindlere

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Jobbsøknad: Slik skiller du deg ut i den store bunken
Les mer
Jobbsøknad: Slik skiller du deg ut i den store bunken
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra