Después de realizar una auditoría informática, Google reveló una falla de seguridad en Titan, su llave de seguridad Bluetooth, que permitiría a un atacante ubicado cerca del dispositivo esquivar la protección que esta herramienta proporciona. Google anunció que remplazará las llaves de seguridad defectuosas de los usuarios.
Los especialistas determinaron que la falla existe debido a una configuración errónea en el protocolo de emparejamiento Bluetooth de los dispositivos Titan. Acorde a los expertos que realizaron la auditoría informática, esta vulnerabilidad afecta todas las llaves de seguridad Bluetooth, que se venden a un costo promedio de 50 dólares cada una.
Para explotar esta vulnerabilidad, un hacker tendría que estar físicamente cerca de la llave de seguridad (alrededor de 10 metros, rango de alcance del Bluetooth); si el atacante está cerca de la víctima, puede abusar del protocolo mal configurado para conectar su propio dispositivo a la llave de seguridad antes de que la víctima se conecte para iniciar sesión en su cuenta.
Además, antes de que la llave de seguridad sea utilizada por el usuario, esta debe emparejarse con el dispositivo, como si fuera un par de audífonos. Los actores de amenazas podrían explotar esta característica para usar sus propios dispositivos, enmascarándolos como una llave de seguridad para conectarse al dispositivo de la víctima cuando el botón de la llave sea presionado.
Es importante destacar que todo este proceso debe ser realizado en el preciso momento en el que la llave de seguridad es conectada a un dispositivo, además el atacante debe conocer las credenciales de acceso de la víctima, aumentando la complejidad del ataque, acorde a los expertos que realizaron la auditoría informática.
La compañía asegura que este inconveniente no interviene en la labor primordial de la llave de seguridad Titan, que es proteger a los usuarios contra ataques de phishing, además invitan a los usuarios a seguir utilizando su dispositivo hasta que Google les envíe el reemplazo.
Acorde a especialistas del Instituto Internacional de Seguridad Cibernética (IICS) es mucho más seguro usar una llave con un problema de protocolo Bluetooth que no usar ninguna herramienta de seguridad.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad