谷歌将更换有故障的泰坦安全密钥

在去年7月一场华丽的推出后，谷歌今天宣布，由于该公司在按键的蓝牙配对过程中发现的漏洞，它将取代Titan安全密钥。谷歌表示，安全漏洞允许攻击者接管用户的设备和/或登录用户的帐户，尽管在某些条件下密钥应该是安全的。拥有可通过蓝牙与设备配对(连接)的Titan安全密钥的所有用户现在都有资格免费更换没有蓝牙功能的Titan安全密钥不受影响，例如那些通过NFC或USB工作的安全密钥。蓝牙功能的Titan密钥的所有者可以访问此页面以查看他们的设备是否容易受到攻击，他们将收到有关如何申请和接收替换设备的说明。

“如果密钥背面有'T1'或'T2'，那么你的密钥会受到问题的影响而且有资格免费更换，”谷歌今天在一篇博文中表示。

谷歌的Titan品牌钥匙仅在美国销售。同样的钥匙在其他国家以其原有的飞天品牌销售。谷歌发言人告诉ZDNet，非美国用户可以使用相同的google.com/replacemykey页面检查他们的飞天键是否受到影响，但如果用户受到影响并有资格获得新密钥，飞天将负责替换流程。

安全漏洞

据Google称，安全漏洞是由于“Titan Security Keys的蓝牙配对协议配置错误”。

这个漏洞可以被实际存在(在大约30英尺内)Titan用户的攻击者利用，并且当用户正常使用该密钥时，或者当他们第一次将其与他们的计算机配对时。

例如，当用户首先将他们的Titan安全密钥与其设备配对时，攻击者可以利用蓝牙配对协议中的缺陷来劫持此过程，并将恶意蓝牙设备与用户的计算机配对。攻击者稍后可以将此恶意设备重新分配为蓝牙键盘，以后他们可以使用它来运行恶意命令来劫持用户的设备。

此外，当设备所有者按下Titan安全密钥上的激活按钮以登录在线帐户时，攻击者还可以授权恶意设备访问该帐户 - 只要攻击者也拥有有效密码即可。

GOOGLE：用户应继续使用密钥

正是由于这些原因，谷歌正在取代这些密钥。但是，该公司建议用户在获得替换之前不要停止使用密钥，因为与不使用安全密钥相比，他们可以提供增强的安全性。

“使用具有此问题的密钥仍然更安全，而不是在您的Google帐户上关闭基于安全密钥的两步验证(2SV)或降级为更少的防网络钓鱼方法(例如发送给您的短信代码或提示设备)，“谷歌说。

谷歌去年7月宣布推出Titan安全密钥。该公司针对故障蓝牙供电的Titan安全密钥的所有者发布了以下建议，直到更换到货。

iOS设备：

在运行iOS 12.2或更早版本的设备上，我们建议您将受影响的安全密钥用于潜在攻击者不在物理上接近(大约30英尺)的私人场所。在您使用密钥在设备上登录Google帐户后，请立即取消配对。在等待更换时，您可以再次以这种方式使用密钥，直到您更新到iOS 12.3。

更新到iOS 12.3后，受影响的安全密钥将不再有效。您将无法使用受影响的密钥登录自己的Google帐户或受密钥保护的任何其他帐户，并且您需要订购替换密钥。如果您已在iOS设备上登录自己的Google帐户，请不要注销，因为在获得新密钥之前您将无法再次登录。如果您在更换密钥到达之前锁定了iOS设备上的Google帐户，请参阅这些说明以重新访问您的帐户。请注意，您可以继续在非iOS设备上登录Google帐户。

在Android和其他设备上：

我们建议您将受影响的安全密钥用于潜在攻击者不在物理上接近(大约30英尺)的私人场所。在您使用受影响的安全密钥登录Google帐户后，请立即取消配对。使用即将到来的2019年6月安全补丁级别(SPL)更新的Android设备将自动取消受影响的蓝牙设备，因此您无需手动取消配对。您还可以继续使用Android上支持的USB或NFC安全密钥，但不受此问题的影响。