5月16日消息，據(jù)外媒報(bào)道，谷歌日前披露了其藍(lán)牙Titan安全密鑰存在的兩個(gè)安全漏洞，并承諾為用戶免費(fèi)更換它們。

　　谷歌宣稱，“Titan安全密鑰的藍(lán)牙匹配協(xié)議中存在配置錯(cuò)誤”，可能允許黑客侵入用戶的帳戶或設(shè)備，盡管這種情況只會(huì)在幾種特定(且特別難以實(shí)現(xiàn))的情況下實(shí)現(xiàn)。

　　谷歌表示，今天的披露是一種協(xié)調(diào)行動(dòng)，因?yàn)樨?fù)責(zé)生產(chǎn)這種受影響產(chǎn)品的飛天公司(Feitian)同時(shí)也在披露這一問題。后者今天也披露了同樣的安全漏洞，并承諾為其用戶提供更換服務(wù)。飛天公司為谷歌生產(chǎn)Titan密匙，同時(shí)也以自己的品牌銷售密鑰。谷歌稱，微軟最初發(fā)現(xiàn)了這個(gè)漏洞，并向飛天公司報(bào)告了其發(fā)現(xiàn)。

　　長期以來，谷歌一直是兩步認(rèn)證機(jī)制(2FA)的領(lǐng)先者。特別是，該公司始終在推銷其Titan安全密鑰，稱其是更安全的方式，使2FA比身份驗(yàn)證應(yīng)用更簡單易用。谷歌在這方面沒有做錯(cuò)，但考慮到它的目的是提供更高級(jí)別的安全保護(hù)，其對(duì)任何潛在的安全漏洞都將進(jìn)行更高級(jí)別的審查。

　　谷歌披露了兩個(gè)漏洞。第一，當(dāng)用戶按下登錄身份驗(yàn)證按鈕時(shí)，如果黑客在其密鑰10米左右的Bluetooth Low Energy范圍內(nèi)，他們就可以將其設(shè)備與用戶的安全密鑰相連。如果他們獲取用戶的密碼，他們就可以進(jìn)入起帳戶。

　　第二種可能的情況是，當(dāng)用戶第一次配對(duì)密鑰時(shí)，黑客可以“偽裝成受影響的安全密鑰并連接到其設(shè)備”，然后在用戶的設(shè)備上執(zhí)行與其他藍(lán)牙設(shè)備相同的操作，例如充當(dāng)鍵盤或鼠標(biāo)。

　　因此，黑客需要知道這些漏洞，擁有能夠利用該漏洞的軟件，并需要在正確的時(shí)間執(zhí)行攻擊。不過，這是一系列不太可能發(fā)生的事件，但像Titan這樣的物理安全鑰匙需要達(dá)到更高的標(biāo)準(zhǔn)，才能確保人們的信任。

　　在線身份保護(hù)設(shè)備領(lǐng)先提供商Yubico的創(chuàng)始人曾批評(píng)谷歌推出了BLE密鑰，因?yàn)槠湔J(rèn)為這種設(shè)備不會(huì)像USB或NFC那樣安全。谷歌披露的Titan安全密鑰藍(lán)牙漏洞并不影響最近推出的、使用安卓手機(jī)作為物理安全密鑰的能力。這種方法并不像Titan和飛天密匙那樣依賴藍(lán)牙配對(duì)。

　　如果用戶的Titan密匙上有“T1”或“T2”字樣 ，就有資格要求免費(fèi)更換。谷歌建議用戶繼續(xù)使用自己的安全密鑰，它仍然可能比其他兩步驗(yàn)證方法更安全，而且絕對(duì)比不使用兩步驗(yàn)證更安全。(騰訊科技審校/金鹿)