Sicherheitsproblem in Googles Titan Security Keys

Publiziert am 16. Mai 2019 von Günter Born

Google-Mitarbeiter verwenden intern Titan Security Keys, um Anmeldeinformationen zu speichern. Die Titan Security Keys werden nun aber auch frei auf dem Markt verkauft. Leider musste Google ein Sicherheitsproblem im Bluetooth-Teil des Sicherheits-Keys einräumen. Die Titan Security Keys sollen ausgetauscht werden. Ergänzung: Auch Sicherheitsschlüssel des Anbieters Feitian sind betroffen.

Anzeige

Googles Titan Security Keys

Das Unternehmen hatte Titan Security Keys auf der Google Cloud Next '18 Convention in San Francisco vorgestellt. Die USB-Lösung soll, ähnlich dem YubiKey von Yubico, eine hardwarebasierte Zwei-Faktor-Authentifizierung für Online-Konten mit dem höchsten Grad an Schutz vor Phishing-Angriffen bieten. Google hat diese Lösung in der Vergangenheit bei den eigenen Mitarbeitern verwendet.

Das Kit wird seit September 2018 für 50 US $ in den Vereinigten Staaten im Google Store (nur in den USA abrufbar) verkauft und besteht aus folgenden Komponenten:

  • USB Security Key,
  • Bluetooth Security Key,
  • USB-C to USB-A Adapter,
  • USB-C to USB-A Verbindungskabel.

Eigentlich eine gute Sache, um einen Passwortklau zu verhindern. Ich hatte über das Projekt im Blog-Beitrag Google Titan Security Keys – Made in China berichtet.

Leider gibt es ein Sicherheitsproblem

In einem Blog-Beitrag Advisory: Security Issue with Bluetooth Low Energy (BLE) Titan Security Keys vom 16. Mai 2019 musste Google allerdings ein Sicherheitsproblem beim Titan Security Key eingestehen. Man ist auf ein Problem aufmerksam geworden, das die in den USA erhältliche Bluetooth Low Energy (BLE)-Version des Titan-Sicherheitsschlüssels betrifft.

Aufgrund einer Fehlkonfiguration in den Bluetooth-Pairing-Protokollen der Titan Security Keys ist es einem Angreifer, der sich physisch in Ihrer Nähe des Keys befindet, in die Kommunikation einzuklinken. Das geht allerdings nur in dem Moment, in dem Benutzer den Sicherheitsschlüssel per Bluetooth zur Authentifizierung verwendet. Dann kann der Angreifer mit dem Titan Security Key, oder mit dem Gerät, mit dem der Sicherheitsschlüssel verbunden ist, kommunizieren. Damit die Fehlkonfiguration ausgenutzt werden kann, müsste ein Angreifer eine Reihe von Ereignissen eng aufeinander abstimmen:

  • Benutzer, die sich per Titan Security Key bei einem Konto auf ihrem Gerät anmelden, werden normalerweise aufgefordert, die Taste auf dem BLE-Sicherheitsschlüssel zu drücken, um ihn zu aktivieren. Ein Angreifer, der sich zu diesem Zeitpunkt in unmittelbarer Nähe befindet, kann möglicherweise sein eigenes Gerät mit dem betroffenen Sicherheitsschlüssel verbinden, bevor sich das eigene Gerät verbindet. Unter diesen Umständen könnte sich der Angreifer mit seinem eigenen Gerät am Konto des Benutzers anmelden, wenn er zusätzlich den Benutzernamen und das Passwort des Benutzers erhalten hat. Diese Ereignisse müsste der Angreifer genau terminieren.
  • Bevor Nutzer ihren Sicherheitsschlüssel verwenden können, muss er mit Ihrem Gerät gekoppelt werden. Einmal gepaart, könnte ein Angreifer in der Nähe sein Gerät benutzen, um sich als als betroffener Sicherheitsschlüssel auszugeben. Dann könnte er sich mit dem Gerät des Benutzers verbinden, sobald dieser aufgefordert wird die Taste auf dem Titan Sicherheitsschlüssel zu drücken. Danach können Angreifer versuchen, das Gerät des Benutzers so zu ändern, dass es als Bluetooth-Tastatur oder -Maus erscheint. Dies würde Angreifern die Manipulation des Geräts ermöglichen.

Die Szenarien sind aber so komplex und mit vielen Annahmen versehen, dass eine praktische Ausnutzbarkeit nicht realistisch erscheint. Google schreibt denn auch, dass dieses Sicherheitsproblem keinen Einfluss auf den Hauptzweck von Sicherheitsschlüsseln hat, nämlich Nutzer vor Phishing durch einen entfernten Angreifer zu schützen.

Sicherheitsschlüssel bleiben der stärkste verfügbare Schutz vor Phishing; es ist immer noch sicherer, einen Schlüssel zu verwenden, der dieses Problem aufweist, anstatt die zweistufige sicherheitsschlüsselbasierte Verifizierung (2SV) im Google-Konto auszuschalten oder auf weniger phishing-resistente Methoden (z.B. SMS-Codes oder Eingabeaufforderungen, die an Ihr Gerät gesendet werden) herunterzusetzen.

Anzeige

Dieses Bluetooth-Problem beim Titan Security Key hat keinen Einfluss auf USB- oder NFC-Sicherheitsschlüssel. Google empfiehlt den Leuten daher, den Titan Security Key weiter zu verwenden, wird die Keys aber austauschen. Weitere Details sind hier nachzulesen. (via)

Feitian-Sicherheits-Keys ebenfalls betroffen

Kleine Ergänzung zum Artikel. Auf heise ist von mir der Beitrag Schwachstelle in Bluetooth Titan Security Keys – Google bietet Gratis-Umtausch zum Thema erschienen. Dort hat sich ein Leser mit diesem Kommentar gemeldet. Er bekam eine E-Mail zu allen Amazon-Konten, die mit dem betreffenden Sicherheitsschlüssel des chinesischen Herstellers Feitian gesichert sind. Das ist der Hersteller, der für Google die Fertigung des Titan Security Keys übernommen hatte (siehe Google Titan Security Keys – Made in China). Die Mitteilung war, dass die Sicherheitsschlüssel betroffen seien. Der Hersteller hat eine entsprechende Webseite mit weiteren Informationen, auch zum Austausch, eingerichtet.

 

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.