Sicherheitslücken in Titan: Google tauscht hauseigenen Fido-Stick aus

Der Sicherheitsschlüssel Titan enthält in seiner Bluetooth-Variante zwei Sicherheitslücken, über welche die Zwei-Faktor-Authentifizierung oder die verwendeten Geräte angegriffen werden können. Google tauscht die Sticks kostenlos aus - bis dahin sollen Nutzer diese jedoch weiter verwenden.

Artikel veröffentlicht am ,
Googles Fido-Stick Titan: Die Bluetooth-Variante (rechts) enthält Sicherheitslücken.
Googles Fido-Stick Titan: Die Bluetooth-Variante (rechts) enthält Sicherheitslücken. (Bild: Martin Wolf/Golem.de)

Eine einfache und vor allem sichere Zwei-Faktor-Authentifizierung verspricht Google mit seinen Fido-Sticks namens Titan. Doch die Sicherheit der Bluetooth-Variante lässt sich aushebeln - allerdings mit recht hohem Aufwand. Google bietet ein kostenloses Austauschprogramm für die betroffenen Titan-Sticks an. Bis zum Austausch könne der Stick weiterverwendet werden, sagt Google. Das sei immer noch sicherer, als ihn nicht zu verwenden. Die Variante des Titan ohne Bluetooth ist nicht betroffen.

Grund für die Sicherheitslücke sei eine Miskonfiguration im Bluetooth-Pairing-Protokoll des Titan. Wird die Bluetooth-Variante des Titan-Sticks von einem Nutzer als zweiter Faktor verwendet, muss er den Button auf dem Stick drücken. Befindet sich ein Angreifer in der Bluetooth-Reichweite von ungefähr 10 Metern, kann er sich in diesem Moment selbst mittels Bluetooth mit dem Titan-Key verbinden und sich mit dem zweiten Faktor bei einem Dienst anmelden. Voraussetzung hierfür ist allerdings, dass der Angreifer auch die Zugangsdaten zu dem entsprechenden Dienst besitzt.

Ein weiterer Angriffsvektor greift nicht den Titan-Stick selbst sondern ein mit ihm verwendetes Gerät an. Wurde der Titan-Stick mit diesem gekoppelt, wird der Nutzer bei jeder Verwendung des Sticks dazu aufgefordert, den Button des Titan zu drücken. Ein Angreifer kann in diesem Moment ein eigenes Gerät als Titan-Stick ausgeben und damit die Bluetooth-Verbindung zu dem Rechner oder Smartphone des Nutzers übernehmen. Anschließend könne der Angreifer versuchen, sein Gerät als Tastatur oder Maus auszugeben und damit beispielsweise Befehle auf dem Smartphone oder Rechner des Nutzers ausführen.

Betroffene Geräte austauschen

"Dieses Sicherheitsproblem hat keine Auswirkungen auf den Hauptzweck von Sicherheitsschlüsseln, nämlich den Schutz vor Phishing durch einen entfernten Angreifer", argumentiert Google in einem Blogeintrag. Die Fido-Sticks seien weiterhin der stärkste Schutz gegen Phishing. In seinem Blogeintrag erklärt Google dennoch, wie ein Nutzer die Kopplung mit Android und iOS lösen kann. Der Konkurrent Yubico kritisierte die Entscheidung Googles, einen Fido-Stick in einer Bluetooth-Variante zu veröffentlichen, bereits letztes Jahr: Bluetooth biete nicht denselben Sicherheitsstandard wie NFC oder USB und erfordere Batterien und eine Kopplung mit den verwendeten Geräten, was zu einer schlechten Nutzererfahrung führe. Yubico habe sich bewusst entschieden, keine Bluetooth-Variante seiner Fido-Sticks zu veröffentlichen.

Betroffene Geräte tragen auf der Rückseite am unteren Ende den Schriftzug "T1" oder "T2" in einem Kreis. Ein kostenloser Ersatz kann hier angefordert google.com/replacemykey. Bisher werden die Fido-Sticks von Google nur in den USA vertrieben. Ob sie auch außerhalb der USA ausgetauscht werden, ist nicht bekannt. Golem.de hat einen Titan-Key in den USA erstanden, um ihn zu testen.

Nachtrag vom 16. Mai 2019, 18:00 Uhr

Auch die Bluetooth-Varianten der Fido-Sticks von Feitian sind betroffen. Der Hersteller produziert die Sticks für Google und bietet auch selbst ein Austauschprogramm an: www.ftsafe.com/replacement/.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Direkte-E-Fuel-Produktion  
Porsches Masterplan hinter dem Verbrennerkompromiss

Der Sportwagenhersteller will künftig E-Fuels direkt im Fahrzeug produzieren. Dazu übernimmt Porsche das strauchelnde Start-up Sono Motors.
Ein Bericht von Friedhelm Greis

Direkte-E-Fuel-Produktion: Porsches Masterplan hinter dem Verbrennerkompromiss
Artikel
  1. BrouwUnie: Tesla verkauft Giga Bier zu einem stolzen Preis
    BrouwUnie
    Tesla verkauft Giga Bier zu einem stolzen Preis

    Tesla hat, wie von Elon Musk versprochen, nun eine eigene Biermarke im Angebot und verkauft drei Flaschen für knapp 90 Euro.

  2. Google: Ursache für Acropalypse-Lücke in Android seit Jahren bekannt
    Google
    Ursache für Acropalypse-Lücke in Android seit Jahren bekannt

    Eine wohl undokumentierte API-Änderung führte zu der Acropalypse-Sicherheitslücke. Das Problem dabei ist Google schon früh gemeldet worden.

  3. Sprachmodelle: Warum ChatGPT so erfolgreich ist
    Sprachmodelle
    Warum ChatGPT so erfolgreich ist

    KI-Insider Wie erklärt sich der Erfolg von ChatGPT, obwohl es nur eines von vielen Sprachmodellen und leistungsstarken KI-Systemen ist? Drei Faktoren sind ausschlaggebend.
    Von Thilo Hagendorff

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • ASUS VG27AQ1A QHD/170 Hz 269€ • Crucial P3 Plus 1 TB 60,98€ • ViewSonic VX3218-PC-MHDJ FHD/165 Hz 227,89€ • MindStar: be quiet! Pure Base 600 79€ • Alternate: Corsair Vengeance RGB 64-GB-Kit DDR5-6000 276,89€ und Weekend Sale • Elex II 12,99€ • 3 Spiele kaufen, 2 zahlen [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /