جوجل تكشف عن ثغرة أمنية في مفتاحها للأمان “Titan”
أعلنت شركة جوجل الأمريكية عن تفاصيل مشكلة أمنية، اكتشفتها شركة مايكروسوفت في نسخة BLE من مفتاحها للأمان “Titan”، مع توفيرها، بشكل مجاني، مفتاحًا بديلًا لجميع المستخدمين الحاليين.
وتسمح المشكلة لشخص قريب على بُعد حوالي 30 قدمًا بالتحايل على الأمان الذي يفترض أن يوفره المفتاح، ويمكنه من الوصول إليه، أو إلى الجهاز المُقترن به، أثناء محاولة المستخدم تنشيط المفتاح، أو إقران أجهزته.
وتقول “جوجل”: “إن هذه المشكلة متعلقة بإعداد خاطئ في بروتوكول الاقتران بالبلوتوث ضمن مفتاح الأمان Titan، وإن المشكلة لا تؤثر على قدرة المفاتيح المعيبة على حماية المستخدمين من هجمات التصيد الاحتيالي عن بُعد، لكنها تكشف عن وجود فجوة كبيرة في أمان الجهاز”.
ووفق ما ذكرت البوابة العربية للأخبار التقنية، تؤثر هذه المشكلة على جميع مفاتيح “Titan” العاملة بالبلوتوث، المباعة بمبلغ 50 دولارًا، ضمن مجموعة تتضمن أيضًا مفتاحًا قياسيًا عاملًا بتقنية USB/NFC، التي تحتوي على شعار “T1” أو “T2” في الجهة الخلفية.
وقد تؤدي هذه المشكلة إلى إضعاف الإعلانات الأخيرة لشركة جوجل حول الخصوصية والأمان، والتي أصبحت مشكلة كبيرة في وادي السيليكون.
وأوصت الشركة بمواصلة استخدام المفاتيح المتأثرة حتى استبدالها، ويجب على المستخدم كإجراء وقائي إضافي استخدام المفتاح عندما لا يكون بالقرب من أشخاص آخرين، قد يحاولون الوصول إلى أجهزته، ثم إزالة المفتاح فورًا بعد تسجيل الدخول، على حد قول جوجل.
ومع ذلك، فلن يتمكن مستخدمو “آي أو إس” الذين قاموا بالتحديث إلى الإصدار 12.3 من تسجيل الدخول إلى أي حسابات مرتبطة بالمفتاح، حتى يحصلوا على المفتاح البديل، ونصحت الشركة المستخدمين بالاحتفاظ بتسجيل الدخول إلى حساباتهم على أجهزة “آي أو إس”، حتى يصل المفتاح البديل.
وكانت “جوجل” قد أعلنت خلال فعاليات مؤتمرها المسمى في شهر أغسطس الماضي عن إطلاقها مفتاح الأمان المادي المسمى “Titan”، والذي يتيح للمستخدمين تسجيل الدخول إلى حساباتهم على الحواسيب، من خلال مصادقة الهوية عبر USB، أو Bluetooth.
ويهدف المفتاح إلى توفير طبقة إضافية من الحماية للمستخدمين، الذين يأملون في منع سرقة حساباتهم عن طريق هجمات التصيد الاحتيالي، وذلك من خلال ربط المصادقة الثنائية بالمفتاح، بحيث يمنع المفتاح الوصول غير المصرح به إلى حسابات المستخدم على الإنترنت.
ويستخدم المفتاح البروتوكول المحدد من قبل تحالف FIDO، مما يجعله متوافقًا تقريبًا مع أي خدمة تسمح للمستخدمين بتشغيل U2F، وهو معيار مصادقة مفتوح المصدر، يعمل على تقوية وتبسيط المصادقة الثنائية 2FA.
وتعد المصادقة الثنائية بمثابة طبقة أمان إضافية فوق كلمة المرور، حيث ينبغي ادخال رمز المصادقة، والذي يمكن الحصول عليه من خلال رسالة نصية قصيرة، أو عبر استخدام تطبيق جهة مصادقة، من أجل الوصول إلى الحساب، مما يساعد في التخفيف من مخاطر الخداع.