Google vừa công bố một lỗ hổng bảo mật trên thiết bị khóa Bluetooth Titan Security và cho biết sẽ đổi sản phẩm mới cho toàn bộ khách hàng.
Cụ thể, có một cấu hình sai trong giao thức kết nối Bluetooth nên tất cả các thiết bị khóa Titan Security đều có lỗ hổng. Trong vài trường hợp, kẻ xấu sẽ tận dụng lỗi này để tấn công và truy cập vào tài khoản hoặc thiết bị của người dùng.
Công ty khẳng định dù chiếc khóa bị lỗi vẫn có thể bảo vệ người dùng trước các cuộc tấn công, hãng sẽ đổi một sản phẩm khác miễn phí cho tất cả khách hàng và khuyến khích người dùng nên tiếp tục sử dụng cho đến khi được thay mới.
Khóa Bluetooth Titan Security được bán với giá 50 USD, trong gói gồm một khóa USB/NFC tiêu chuẩn, có ký hiệu T1 hoặc T2 ở mặt sau.
Để khai thác lỗ hổng trên thiết bị, kẻ tấn công phải ở trong phạm vi kết nối Bluetooth và hành động nhanh chóng. Khi người dùng nhấn vào nút kích hoạt trên khóa, hắn phải ngay lập tức sử dụng giao thức được định cấu hình sai để kết nối vào thiết bị trước. Trong trường hợp đã có tên và mật khẩu của người dùng, kẻ xấu có thể đăng nhập vào và đánh cắp dữ liệu.
Google lưu ý rằng trước khi sử dụng khóa, khách hàng cần kiểm tra sản phẩm đã được ghép nối với thiết bị chưa. Kẻ xấu có thể khai thác lỗi này bằng cách sử dụng thiết bị riêng giả làm khóa bảo mật và kết nối với thiết bị của người dùng ngay khi họ nhấn nút.
Dù rất khó để tất cả các bước xảy ra vào đúng thời điểm và kẻ tấn công phải biết rõ thông tin đăng nhập của người dùng, nhưng vẫn có khả năng xảy ra sự cố.
Google cho biết vấn đề này không ảnh hưởng đến chức năng chính của khóa Bluetooth Titan Security – bảo vệ khách hàng chống lại các cuộc tấn công và lừa đảo – đồng thời khuyên người dùng nên tiếp tục sử dụng sản phẩm cho đến khi được thay mới.
Theo: TechCrunch