微软发现谷歌TITAN泰坦安全密钥存在严重漏洞

谷歌在去年就已经推出实体安全密钥。而实体安全密钥的优点就是它不怕密码再次泄露。

而谷歌大部分内部员工也大都使用的是泰坦实体安全密钥，但是令人没有想到的是，这个安全密钥存在严重漏洞，甚至会泄露密码。

蓝牙低功耗版安全秘钥出现严重漏洞：

出现此漏洞的主要原因是泰坦安全密钥使用的蓝牙协议配置不正确，因此攻击者可以在接近用户时通过蓝牙直接与泰坦安全密钥配对。

如果用户登录自己计算机上的帐户，泰坦安全密钥将要求用户按下密钥上的物理按钮激活密钥，而攻击者就可以趁着用户按压按钮的时候登录账户。

还存在一种情况就是用户在使用密钥时必须连接到他或她自己的蓝牙设备，这个时候攻击者可能会将自己的蓝牙设备进行伪装诱导用户连接。

攻击者可以使用蓝牙连接来操作用户的计算机，这可能会对用户的设备安全性和帐户安全性产生潜在影响。

此问题不会影响安全密钥的使用：

泰坦安全密钥的目的是保护用户免受远程攻击者的网络钓鱼攻击，安全密钥仍然可以抵御网络钓鱼。

使用安全保护密钥仍然非常安全，因为攻击者必须能够准确计算用户的操作并与攻击密切联系。

同时，用户不应关闭谷歌或其他账号的安全密钥验证，用户可以在更换新安全密钥之前继续使用泰坦安全密钥。

受影响的设备可以免费更换：

如果您使用蓝牙低功耗版本的泰坦安全密钥，如果密钥背面有T1/T2字体则表示会受到影响。

对于受影响的泰坦安全密钥谷歌，将提供免费替换，用户可以转到谷歌帮助页面检索免费替换所需的步骤。

如何降低安全风险？

如果用户使用的是iOS 12.2及以前的版本，建议在私有地方使用安全密钥，避免公共场所的潜在攻击者。

如果用户使用的是iOS 12.3版，则该密钥不再有效，用户将无法使用受影响的密钥登录到谷歌或其他绑定帐户。

在Android和其他设备上，用户只需在私人场所使用它，同时建议取消蓝牙配对，防止网络钓鱼设备。