Titan蓝牙硬件金钥有安全漏洞，Google将免费换新

Google去年开卖的蓝牙版本Titan硬件金钥装置发现有安全漏洞，可使攻击者登入用户账号或接管装置，Google周三（5月15日）宣布将回收并提供消费者免费换新。

Titan安全金钥为Google自有开发的FIDO2硬件金钥，号称提供比一次性简讯密码更安全的双因素验证（2FA），防止Google用户遭受网钓攻击骗取帐密。它有BLE（Bluetooth Low Energy）及USB版本，售价皆为50美元。

Google发现美国地区销售的BLE版Titan安全金钥有项漏洞。该漏洞出于Titan安全金钥的蓝牙配对协定的组态错误，可能让位于用户周遭约30呎（约9米）的攻击者在配对过程中，和用户的Titan BLE金钥或装置发生互动。在前者情况中，当使用者在其装置上准备登入账号时，会被要求按下BLE金钥上的按钮，这时攻击者可抢先以其装置连接BLE金钥，而如果他刚好有用户账户名称及密码，即可登入用户账号。后者情况下，用户BLE金钥配对自己的装置、并按下金钥上的按钮时，骇客可以其装置冒充BLE金钥而连上用户装置。之后骇客将装置伪装成蓝牙键盘或鼠标，即可在受害者装置上输入或做任何事情。

竞争厂商Yubico首席执行官Stina Ehrensvard，去年在Titan上市时即曾提及BLE的安全性不如USB和NFC，并指出基于安全性及可使用性问题，该公司不推出BLE版本产品。

Titan金钥产品的这项漏洞仅影响BLE版，USB版不受影响。BLE版用户可检查金钥背后，有T1和T2 序号者就代表中标，符合免费更换的资格。

Google最后提醒，漏洞问题并不会损及安全登入的主要功能，所以即使用户中标，也应持续使用，以便在等候更新期间确保免于钓鱼攻击，并且不要擅自关闭两步骤验证或降级到较不安全的保护机制，如简讯密码。