Aktuelles, Branche - geschrieben von dp am Sonntag, Mai 19, 2019 22:59 - noch keine Kommentare
Update erforderlich: Sicherheitslücke in Googles Bluetooth
Mark Miller von Venafi kommentiert Rückrufaktion
[datensicherheit.de, 19.05.2019] Google soll eine Schwachstelle in der „Bluetooth“-Version seines eigenen „Titan“-Sicherheitsschlüssels entdeckt haben, der sich mit Geräten über das drahtlose „Bluetooth Low Energy-Protokoll“ verbindet, anstatt durch NFC oder physisches Einfügen in einen Port. Im Rahmen seiner erweiterten Anti-Phishing und Account-Sicherheitsmaßnahmen bietet Google demnach umfangreiche Unterstützung für physische Authentifizierungstoken.
„BLE“-Dongles anfällig für Angriffe
Google zufolge bieten die „BLE“-Dongles als Teil seines „Advanced Protection Programms“ noch „aggressiveren Kontoschutz“. Aufgrund der zusätzlichen Sicherheit seien vor allem sicherheitsaffine Prominente, Menschenrechtsaktivisten und politische Dissidenten zumeist an den „BLE“-Dongles interessiert. Nun seien sie genau dadurch anfällig für Angriffe, „die in der Lage sind, diese ganz besondere Sicherheitslücke zu nutzen“.
Angriff mit Sicherheitsschlüssel innerhalb von 9 Metern vom Opfer entfernt
Laut Google müsste sich ein Angreifer mit einem Sicherheitsschlüssel innerhalb von neun Metern vom Opfer befinden, um mit diesem Schlüssel oder mit dem Gerät, mit dem der Schlüssel verbunden ist, zu kommunizieren. Außerdem müsste ein Angreifer sein eigenes Gerät schnell mit dem Dongle verbinden, d.h. in den Sekunden, in denen der Kopplungsprozess geschieht.
Alle Schlüssel der Marke „Titan“ mit „T1“ und „T2“ auf der Rückseite
Im Fall des erfolgreichen Kopplungsprozesses und wenn der Angreifer den Benutzernamen und das Passwort des Opfers hat, könne er auf seinem eigenen Gerät auf das Konto des Opfers leicht zugreifen. Angreifer könnten auch das Gerät des Opfers mit ihrem „Bluetooth“-Dongle weiter verbinden. Nähe und Schnelligkeit machten es schwierig, diese Schwachstelle auszunutzen, aber Kriminelle seien immer bereit solche Herausforderung anzunehmen. Google wird demnach alle Schlüssel der Marke „Titan“, die auf der Rückseite mit „T1“ und „T2“ gekennzeichnet sind, sowie andere „Feitian“-Schlüssel ersetzen – auch solche ohne das „Titan“-Branding.
Fehlkonfiguration offenbar relativ einfach auszunutzen
„Diese Fehlkonfiguration scheint sich relativ einfach ausnutzen zu lassen. Die Tatsache, dass sich der Anwender innerhalb von neun Metern vom Sicherheitsschlüssel entfernt befinden müssen, ist kein Problem, besonders wenn man bedenkt, wie schnell kompilierte und skriptbasierte Software ausgeführt werden kann“, kommentiert Mark Miller, „Director of Enterprise Security Support“ bei Venafi.
Froh, dass Google die Initiative ergreift und Schlüssel
Darüber hinaus betrieben viele Menschen Geschäfte an öffentlichen Orten wie Cafés und Flughäfen, so dass der Anschluss eines Dongles an ein Gerät nicht allzu weit hergeholt sei. Aus technologischer Sicht seien diese Schlüssel erstaunlich; sie machten die Sicherheit einfacher. Miller: „Es gibt jedoch keine perfekte Technologie, also bin ich froh, dass Google die Initiative ergreift und diese Schlüssel zurückruft.“
Weitere Informationen zum Thema:
datensicherheit.de, 25.04.2019
Google Play Store: Sechs gefährliche Apps mussten entfernt werden
datensicherheit.de, 04.09.2017
Moderne Autos als rollende Sicherheitslücken
Aktuelles, Experten - Apr 26, 2024 20:46 - noch keine Kommentare
eco-Stellungnahme zum Verschlüsselungsverbot – praktisch nicht umsetzbar und Verstoß gegen Grundrechte
weitere Beiträge in Experten
- Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt
- Bundesdatenschutzgesetz: DSK-Stellungnahme zum Gesetzentwurf zur Änderung veröffentlicht
- Digitalministerkonferenz: Digitalverband Bitkom benennt Herausforderungen an die neue Institution
- Digitalministerkonferenz sollte Schnellboot der Digitalisierung in Deutschland sein
- World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
Aktuelles, Branche - Apr 26, 2024 20:54 - noch keine Kommentare
Soziale Medien: Booster oder Cyber-Achillesferse für Politiker
weitere Beiträge in Branche
- DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher
- Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024
- DDoS-Attacken: Check Point warnt vor neue Wellen
- Finanzkriminalität: BioCatch publiziert ersten Bericht über digitalen Betrug mittels KI
- Zscaler-Report 2024: 60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren