Google mengungkapkan kerentanan local proximity yang memengaruhi Bluetooth Low Energy (BLE) Titan Security Key yang dijual di AS. Kerentanan ini dikabarkan berasal dari “kesalahan konfigurasi dalam protokol pemasangan Bluetooth Titan Security Key”.
Menurut halaman BLE Titan Security Key, “Titan Security Key membantu mencegah phishing dan mencegah siapa pun yang tidak memiliki akses ke akun online Anda. Kunci keamanan adalah tingkat keamanan yang sama dengan yang digunakan secara internal di Google.”
Manajer Produk Google Cloud, Christiaan Brand, mengatakan dalam pengumuman kerentanan bahwa kunci keamanan non-Bluetooth – seperti USB atau NFC – tidak terpengaruh oleh kerentanan ini.
Seperti yang dinyatakan perusahaan, penyerang potensial yang berhasil masuk dalam jangkauan Bluetooth (sekitar 30 kaki) sementara kunci keamanan digunakan dapat berkomunikasi dengan kunci keamanan dan perangkat yang dipasangkan.
Google juga mengumumkan bahwa untuk kesalahan konfigurasi protokol penyandingan yang akan disalahgunakan, calon penyerang harus melakukan tindakannya dengan sangat akurat dengan serangkaian peristiwa:
- Saat Anda mencoba masuk ke akun di perangkat Anda, Anda biasanya diminta untuk menekan tombol pada kunci keamanan BLE Anda untuk mengaktifkannya. Seorang penyerang yang dekat secara fisik pada saat itu berpotensi dapat menghubungkan perangkat mereka sendiri dengan kunci keamanan Anda yang terpengaruh sebelum perangkat Anda terhubung. Dalam keadaan seperti ini, penyerang dapat masuk ke akun Anda menggunakan perangkat mereka sendiri jika penyerang entah bagaimana sudah mendapatkan nama pengguna dan kata sandi Anda dan dapat menghitung waktu kejadian ini dengan tepat.
- Sebelum Anda dapat menggunakan kunci keamanan Anda, itu harus dipasangkan ke perangkat Anda. Setelah dipasangkan, penyerang yang dekat secara fisik dengan Anda dapat menggunakan perangkat mereka untuk menyamar sebagai kunci keamanan Anda yang terkena dampak dan terhubung ke perangkat Anda saat Anda diminta untuk menekan tombol pada kunci Anda. Setelah itu, mereka dapat mencoba mengubah perangkat mereka agar muncul sebagai keyboard atau mouse Bluetooth dan berpotensi mengambil tindakan pada perangkat Anda.
Mempertimbangkan peluang yang sangat tipis dari serangan semacam itu dan fakta bahwa “masalah keamanan ini tidak mempengaruhi tujuan utama kunci keamanan, yaitu untuk melindungi Anda terhadap phishing oleh penyerang jarak jauh”, perusahaan menyarankan para pengguna yang BLE-nya diaktifkan untuk terus menggunakan perangkat.
Melakukan hal ini akan memastikan bahwa mereka tidak harus menonaktifkan “verifikasi dua langkah (2SV) berbasis kunci keamanan pada Akun Google Anda atau menurunkan versi ke metode yang kurang tahan phising (mis. Kode SMS atau permintaan yang dikirimkan ke perangkat Anda).”
Google mengatakan bahwa semua pengguna yang perangkatnya rentan dengan kode T1 atau T2 di bagian belakang akan mendapatkan penggantian gratis dengan mengunjungi google.com/replacemykey.
Masalah ini memengaruhi versi BLE dari Titan Security Key. Untuk menentukan apakah kunci Anda terpengaruh, periksa bagian belakang kunci. Jika memiliki “T1” atau “T2” di bagian belakang kunci, kunci Anda terpengaruh oleh masalah keamanan ini dan memenuhi syarat untuk penggantian gratis.
Perusahaan juga menyediakan sejumlah langkah yang dirancang untuk memungkinkan bagi pengguna iOS (12.2 atau lebih lama) dan perangkat Android dan versi BLE dari Titan Security Key untuk meminimalkan risiko keamanan hingga mereka menerima kunci keamanan pengganti mereka.
Menurut Google, pengguna Android dan iOS harus menggunakan “kunci keamanan yang terpengaruh di tempat pribadi di mana penyerang potensial tidak berada dalam jarak dekat fisik (sekitar 30 kaki).” Segera setelah itu, mereka harus memutus kunci keamanan.
Pengguna iOS 12.3 “tidak akan dapat menggunakan kunci yang terpengaruh untuk masuk ke akun Google, atau akun lain yang dilindungi oleh kunci tersebut, dan Anda perlu memesan kunci pengganti.” Jika mereka belum masuk ke akun Google mereka di perangkat iOS dan dikunci, mereka dapat menggunakan instruksi yang tersedia DISINI untuk mendapatkan akses kembali ke akun.
Pengguna “perangkat Android yang diperbarui dengan Security Patch Level (SPL) Juni 2019 yang akan datang dan seterusnya” akan dapat menggunakan BLE Titan Security Key mereka yang rentan tanpa terbebani karena mereka akan secara otomatis tidak berpasangan (unpaired).
