Abo
  • IT-Karriere:

Sicherheitslücken in Titan: Google tauscht hauseigenen Fido-Stick aus

Der Sicherheitsschlüssel Titan enthält in seiner Bluetooth-Variante zwei Sicherheitslücken, über welche die Zwei-Faktor-Authentifizierung oder die verwendeten Geräte angegriffen werden können. Google tauscht die Sticks kostenlos aus - bis dahin sollen Nutzer diese jedoch weiter verwenden.

Artikel veröffentlicht am ,
Googles Fido-Stick Titan: Die Bluetooth-Variante (rechts) enthält Sicherheitslücken.
Googles Fido-Stick Titan: Die Bluetooth-Variante (rechts) enthält Sicherheitslücken. (Bild: Martin Wolf/Golem.de)

Eine einfache und vor allem sichere Zwei-Faktor-Authentifizierung verspricht Google mit seinen Fido-Sticks namens Titan. Doch die Sicherheit der Bluetooth-Variante lässt sich aushebeln - allerdings mit recht hohem Aufwand. Google bietet ein kostenloses Austauschprogramm für die betroffenen Titan-Sticks an. Bis zum Austausch könne der Stick weiterverwendet werden, sagt Google. Das sei immer noch sicherer, als ihn nicht zu verwenden. Die Variante des Titan ohne Bluetooth ist nicht betroffen.

Stellenmarkt
  1. Interhyp Gruppe, München
  2. Dataport, verschiedene Standorte

Grund für die Sicherheitslücke sei eine Miskonfiguration im Bluetooth-Pairing-Protokoll des Titan. Wird die Bluetooth-Variante des Titan-Sticks von einem Nutzer als zweiter Faktor verwendet, muss er den Button auf dem Stick drücken. Befindet sich ein Angreifer in der Bluetooth-Reichweite von ungefähr 10 Metern, kann er sich in diesem Moment selbst mittels Bluetooth mit dem Titan-Key verbinden und sich mit dem zweiten Faktor bei einem Dienst anmelden. Voraussetzung hierfür ist allerdings, dass der Angreifer auch die Zugangsdaten zu dem entsprechenden Dienst besitzt.

Ein weiterer Angriffsvektor greift nicht den Titan-Stick selbst sondern ein mit ihm verwendetes Gerät an. Wurde der Titan-Stick mit diesem gekoppelt, wird der Nutzer bei jeder Verwendung des Sticks dazu aufgefordert, den Button des Titan zu drücken. Ein Angreifer kann in diesem Moment ein eigenes Gerät als Titan-Stick ausgeben und damit die Bluetooth-Verbindung zu dem Rechner oder Smartphone des Nutzers übernehmen. Anschließend könne der Angreifer versuchen, sein Gerät als Tastatur oder Maus auszugeben und damit beispielsweise Befehle auf dem Smartphone oder Rechner des Nutzers ausführen.

Betroffene Geräte austauschen

"Dieses Sicherheitsproblem hat keine Auswirkungen auf den Hauptzweck von Sicherheitsschlüsseln, nämlich den Schutz vor Phishing durch einen entfernten Angreifer", argumentiert Google in einem Blogeintrag. Die Fido-Sticks seien weiterhin der stärkste Schutz gegen Phishing. In seinem Blogeintrag erklärt Google dennoch, wie ein Nutzer die Kopplung mit Android und iOS lösen kann. Der Konkurrent Yubico kritisierte die Entscheidung Googles, einen Fido-Stick in einer Bluetooth-Variante zu veröffentlichen, bereits letztes Jahr: Bluetooth biete nicht denselben Sicherheitsstandard wie NFC oder USB und erfordere Batterien und eine Kopplung mit den verwendeten Geräten, was zu einer schlechten Nutzererfahrung führe. Yubico habe sich bewusst entschieden, keine Bluetooth-Variante seiner Fido-Sticks zu veröffentlichen.

Betroffene Geräte tragen auf der Rückseite am unteren Ende den Schriftzug "T1" oder "T2" in einem Kreis. Ein kostenloser Ersatz kann hier angefordert google.com/replacemykey. Bisher werden die Fido-Sticks von Google nur in den USA vertrieben. Ob sie auch außerhalb der USA ausgetauscht werden, ist nicht bekannt. Golem.de hat einen Titan-Key in den USA erstanden, um ihn zu testen.

Nachtrag vom 16. Mai 2019, 18:00 Uhr

Auch die Bluetooth-Varianten der Fido-Sticks von Feitian sind betroffen. Der Hersteller produziert die Sticks für Google und bietet auch selbst ein Austauschprogramm an: www.ftsafe.com/replacement/.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. (-81%) 3,75€
  3. (-75%) 3,75€

blue_think 17. Mai 2019

Danke für die Infos. Die Versionen bei Amazon wirken nicht so wertig.


Folgen Sie uns
       


Phase One IQ4 ausprobiert

Die Phase One IQ4 ist das Mittelformatsystem mit der höchsten Auflösung, das zur Zeit erhältlich ist. Wir haben die Profikamera getestet.

Phase One IQ4 ausprobiert Video aufrufen
Kickstarter: Scheitern in aller Öffentlichkeit
Kickstarter
Scheitern in aller Öffentlichkeit

Kickstarter ermöglicht es kleinen Indie-Teams, die Entwicklung ihres Spiels zu finanzieren. Doch Geld allein ist nicht genug, um alle Probleme der Spieleentwicklung zu lösen. Und was, wenn das Geld ausgeht?
Ein Bericht von Daniel Ziegener

  1. Killerwhale Games Verdacht auf Betrug beim Kickstarter-Erfolgsspiel Raw
  2. The Farm 51 Chernobylite braucht Geld für akkurates Atomkraftwerk
  3. E-Pad Neues Android-Tablet mit E-Paper-Display und Stift

Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

LEDs: Schlimmes Flimmern
LEDs
Schlimmes Flimmern

LED-Licht zu Hause oder im Auto leuchtet nur selten völlig konstant. Je nach Frequenz und Intensität kann das Flimmern der Leuchtmittel problematisch sein, für manche Menschen sogar gesundheitsschädlich.
Von Wolfgang Messer

  1. Wissenschaft Schadet LED-Licht unseren Augen?
  2. Straßenbeleuchtung Detroit kämpft mit LED-Ausfällen und der Hersteller schweigt
  3. ULED Ubiquitis Netzwerkleuchten bieten Wechselstromversorgung

    •  /