ข่าวไอที Blognone » กูเกิลโค้ดเฟิร์มแวร์กุญแจ U2F พลาดถูกดักฟังการล็อกอินผ่าน Bluetooth ได้, เตรียมส่งตัวใหม่ให้ทุกคน

กูเกิลโค้ดเฟิร์มแวร์กุญแจ U2F พลาดถูกดักฟังการล็อกอินผ่าน Bluetooth ได้, เตรียมส่งตัวใหม่ให้ทุกคน

16 พฤษภาคม 2019
48   0

กูเกิลออกประกาศแจ้งเตือนกุญแจ Titan Security Key ที่เปิดตัวไปเมื่อปีที่แล้ว ว่าการคอนฟิกเฟิร์มแวร์ผิดพลาดทำให้แฮกเกอร์สามารถดักรับข้อความยืนยันการล็อกอินได้, หรือระหว่างการ pair ระหว่างอุปกรณ์ (โทรศัพท์, โน้ตบุ๊ก) กับตัวกุญแจ แฮกเกอร์สามารถสร้างอุปกรณ์มาปลอมเป็นกุญแจเพื่อเข้าควบคุมเครื่องภายหลังได้

คนโจมตีต้องอยู่ในระยะสัญญาณ Bluetooth เพื่อโจมตีช่องโหว่นี้ โดยมีระยะประมาณ 10 เมตร และการล็อกอินด้วย USB และ NFC ไม่มีผลใดๆ โดยการใช้ล็อกอินสองขั้นตอนต้องใช้รหัสผ่านร่วมด้วย การใช้กุญแจยังคงลดความเสี่ยงจากการถูกหลอกให้เข้าเว็บปลอม (phishing) และลดความเสี่ยงในกรณีรหัสผ่านหลุด

กุญแจรุ่น 1, 2, และ 3 ได้รับผลกระทบช่องโหว่นี้ (ดูภาพเวอร์ชั่นท้ายข่าว) สำหรับผู้ใช้ในสหรัฐฯ กูเกิลจะส่งกุญแจใหม่มาเปลี่ยนให้ แต่สำหรับผู้ใช้นอกสหรัฐฯ ต้องกรอกแบบฟอร์มอีกทีเพื่อรอฟังผลว่ากูเกิลจะส่งให้ได้หรือไม่

ที่มา - Google Security Blog

No Description

[source: https://www.blognone.com/node/109790]