Bluetooth Low Energy (BLE) 17.05.2019, 15:10 Uhr

Google warnt vor Sicherheitslücken in Titan Security Keys

Google tauscht die Bluetooth-Variante seiner Titan Security Keys aufgrund einer Sicherheitslücke kostenlos aus. Bis dahin soll der Sicherheitsschlüssel jedoch weiterhin verwendet werden.
(Quelle: Google)
Der Security Key Titan von Google enthält zwei Sicherheitslücken. Wie der Suchmaschinenprimus mitteilt, ist jedoch nur die Variante Bluetooth Low Energy (BLE) der 2FA-Hardware betroffen. Die fehlerhaften Schlüssel sollen kostenlos ersetzt werden. Bis der Ersatz bei den betroffenen Anwendern eintrifft, soll der Key jedoch weiterverwendet werden, so Google. Die Nutzung der schadhaften 2FA-Hardware sei dennoch sicherer, als ohne zweiten Authentifizierungsfaktor zu surfen. Abgesehen davon sei zur Ausnutzung der Schwachstelle ein nicht unerheblicher Aufwand nötig.
Das Problem liegt den Angaben zufolge an einer fehlerhaften Konfiguration im Bluetooth-Pairing-Protokoll. Für eine erfolgreiche Attacke muss sich der Angreifer in physischer Nähe zum Security Key befinden. Kommt der Schlüssel nun zum Einsatz, wird der Nutzer stets dazu aufgefordert, eine Taste auf dem Titan zu drücken, um diesen zu aktivieren. Bei diesem Vorgang könnte der Kriminelle nun ein Gerät dazwischen schalten, welches sich mit dem Key verbindet.
Eine zweite Angriffsmethode beschreibt Google folgendermassen: Nach erstmaliger Kopplung erkennen sich Bluetooth-Geräte gegenseitig wieder und verbinden sich fortan normalerweise automatisch miteinander, wenn sie sich in unmittelbarer Nähe zueinander befinden. Diese Tatsache könnte ein Krimineller ausnutzen, indem er ein eigenes Gerät als den eigentlichen Titan maskiert.

Google erachtet Risiko als eher gering

Google selbst hält diese Sicherheitslücke für unerheblich, tauscht die Sticks nun aber dennoch kostenfrei aus. Als ausgesprochen kritisch ist das Leck wohl tatsächlich nicht zu betrachten, da der Aufwand für einen erfolgreichen Angriff eher nicht im Verhältnis zu einer etwaigen Beute steht. Aber eine Sicherheitslücke ist und bleibt ein bestehendes Risiko und sollte zeitnah behoben werden.


Das könnte Sie auch interessieren