Aktuelles, Branche - geschrieben von dp am Sonntag, Mai 19, 2019 22:59 - noch keine Kommentare
Update erforderlich: Sicherheitslücke in Googles Bluetooth
Mark Miller von Venafi kommentiert Rückrufaktion
[datensicherheit.de, 19.05.2019] Google soll eine Schwachstelle in der „Bluetooth“-Version seines eigenen „Titan“-Sicherheitsschlüssels entdeckt haben, der sich mit Geräten über das drahtlose „Bluetooth Low Energy-Protokoll“ verbindet, anstatt durch NFC oder physisches Einfügen in einen Port. Im Rahmen seiner erweiterten Anti-Phishing und Account-Sicherheitsmaßnahmen bietet Google demnach umfangreiche Unterstützung für physische Authentifizierungstoken.
„BLE“-Dongles anfällig für Angriffe
Google zufolge bieten die „BLE“-Dongles als Teil seines „Advanced Protection Programms“ noch „aggressiveren Kontoschutz“. Aufgrund der zusätzlichen Sicherheit seien vor allem sicherheitsaffine Prominente, Menschenrechtsaktivisten und politische Dissidenten zumeist an den „BLE“-Dongles interessiert. Nun seien sie genau dadurch anfällig für Angriffe, „die in der Lage sind, diese ganz besondere Sicherheitslücke zu nutzen“.
Angriff mit Sicherheitsschlüssel innerhalb von 9 Metern vom Opfer entfernt
Laut Google müsste sich ein Angreifer mit einem Sicherheitsschlüssel innerhalb von neun Metern vom Opfer befinden, um mit diesem Schlüssel oder mit dem Gerät, mit dem der Schlüssel verbunden ist, zu kommunizieren. Außerdem müsste ein Angreifer sein eigenes Gerät schnell mit dem Dongle verbinden, d.h. in den Sekunden, in denen der Kopplungsprozess geschieht.
Alle Schlüssel der Marke „Titan“ mit „T1“ und „T2“ auf der Rückseite
Im Fall des erfolgreichen Kopplungsprozesses und wenn der Angreifer den Benutzernamen und das Passwort des Opfers hat, könne er auf seinem eigenen Gerät auf das Konto des Opfers leicht zugreifen. Angreifer könnten auch das Gerät des Opfers mit ihrem „Bluetooth“-Dongle weiter verbinden. Nähe und Schnelligkeit machten es schwierig, diese Schwachstelle auszunutzen, aber Kriminelle seien immer bereit solche Herausforderung anzunehmen. Google wird demnach alle Schlüssel der Marke „Titan“, die auf der Rückseite mit „T1“ und „T2“ gekennzeichnet sind, sowie andere „Feitian“-Schlüssel ersetzen – auch solche ohne das „Titan“-Branding.
Fehlkonfiguration offenbar relativ einfach auszunutzen
„Diese Fehlkonfiguration scheint sich relativ einfach ausnutzen zu lassen. Die Tatsache, dass sich der Anwender innerhalb von neun Metern vom Sicherheitsschlüssel entfernt befinden müssen, ist kein Problem, besonders wenn man bedenkt, wie schnell kompilierte und skriptbasierte Software ausgeführt werden kann“, kommentiert Mark Miller, „Director of Enterprise Security Support“ bei Venafi.
Froh, dass Google die Initiative ergreift und Schlüssel
Darüber hinaus betrieben viele Menschen Geschäfte an öffentlichen Orten wie Cafés und Flughäfen, so dass der Anschluss eines Dongles an ein Gerät nicht allzu weit hergeholt sei. Aus technologischer Sicht seien diese Schlüssel erstaunlich; sie machten die Sicherheit einfacher. Miller: „Es gibt jedoch keine perfekte Technologie, also bin ich froh, dass Google die Initiative ergreift und diese Schlüssel zurückruft.“
Weitere Informationen zum Thema:
datensicherheit.de, 25.04.2019
Google Play Store: Sechs gefährliche Apps mussten entfernt werden
datensicherheit.de, 04.09.2017
Moderne Autos als rollende Sicherheitslücken
Aktuelles, Experten, Studien - Juni 16, 2025 14:51 - noch keine Kommentare
DsiN-Sicherheitsindex 2025 auf historischem Tiefstand
weitere Beiträge in Experten
- BKA-Meldung zu Archetyp Market: Darknet-Handelsplattform abgeschaltet
- Mit DSGVO-Zertifizierung das Datenschutzniveau heben
- eco begrüßt prinzipiell Investitionssofortprogramm zur Stärkung des Wirtschaftsstandorts Deutschland
- OT Security in 2025: More Incidents, less Ransomware
- Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien
Aktuelles, Branche - Juni 15, 2025 18:42 - noch keine Kommentare
Angeblicher Copyrightverstoß: Phishing-Angriffskampagne bedroht europäische Content-Kreatoren
weitere Beiträge in Branche
- ESET warnt vor Folgen: Tausende Überwachungskameras weltweit offen im Netz
- Instagram: Identitätsbetrug bedroht Sicherheit und Reputation von Unternehmen
- Generative KI boomt – zunehmende Sicherheitsrisiken als Kehrseite der Medaille
- Software-Supply-Chain-Angriffe in der Industrie als TOP-1-Cybergefahr
- Cybercrime Risiko Index warnt vor Cyberangriffen: Deutsche Verbraucher und KMU stark betroffen
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren