Sicherheitslücken in Titan: Google tauscht hauseigenen Fido-Stick aus

Der Sicherheitsschlüssel Titan enthält in seiner Bluetooth-Variante zwei Sicherheitslücken, über welche die Zwei-Faktor-Authentifizierung oder die verwendeten Geräte angegriffen werden können. Google tauscht die Sticks kostenlos aus - bis dahin sollen Nutzer diese jedoch weiter verwenden.

Artikel veröffentlicht am ,
Googles Fido-Stick Titan: Die Bluetooth-Variante (rechts) enthält Sicherheitslücken.
Googles Fido-Stick Titan: Die Bluetooth-Variante (rechts) enthält Sicherheitslücken. (Bild: Martin Wolf/Golem.de)

Eine einfache und vor allem sichere Zwei-Faktor-Authentifizierung verspricht Google mit seinen Fido-Sticks namens Titan. Doch die Sicherheit der Bluetooth-Variante lässt sich aushebeln - allerdings mit recht hohem Aufwand. Google bietet ein kostenloses Austauschprogramm für die betroffenen Titan-Sticks an. Bis zum Austausch könne der Stick weiterverwendet werden, sagt Google. Das sei immer noch sicherer, als ihn nicht zu verwenden. Die Variante des Titan ohne Bluetooth ist nicht betroffen.

Stellenmarkt
  1. Senior Service Manager ServiceNow (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte
  2. FullStack Entwickler / Developer (m/w/d) mit Backend Fokus
    DRÄXLMAIER Group, Garching
Detailsuche

Grund für die Sicherheitslücke sei eine Miskonfiguration im Bluetooth-Pairing-Protokoll des Titan. Wird die Bluetooth-Variante des Titan-Sticks von einem Nutzer als zweiter Faktor verwendet, muss er den Button auf dem Stick drücken. Befindet sich ein Angreifer in der Bluetooth-Reichweite von ungefähr 10 Metern, kann er sich in diesem Moment selbst mittels Bluetooth mit dem Titan-Key verbinden und sich mit dem zweiten Faktor bei einem Dienst anmelden. Voraussetzung hierfür ist allerdings, dass der Angreifer auch die Zugangsdaten zu dem entsprechenden Dienst besitzt.

Ein weiterer Angriffsvektor greift nicht den Titan-Stick selbst sondern ein mit ihm verwendetes Gerät an. Wurde der Titan-Stick mit diesem gekoppelt, wird der Nutzer bei jeder Verwendung des Sticks dazu aufgefordert, den Button des Titan zu drücken. Ein Angreifer kann in diesem Moment ein eigenes Gerät als Titan-Stick ausgeben und damit die Bluetooth-Verbindung zu dem Rechner oder Smartphone des Nutzers übernehmen. Anschließend könne der Angreifer versuchen, sein Gerät als Tastatur oder Maus auszugeben und damit beispielsweise Befehle auf dem Smartphone oder Rechner des Nutzers ausführen.

Betroffene Geräte austauschen

"Dieses Sicherheitsproblem hat keine Auswirkungen auf den Hauptzweck von Sicherheitsschlüsseln, nämlich den Schutz vor Phishing durch einen entfernten Angreifer", argumentiert Google in einem Blogeintrag. Die Fido-Sticks seien weiterhin der stärkste Schutz gegen Phishing. In seinem Blogeintrag erklärt Google dennoch, wie ein Nutzer die Kopplung mit Android und iOS lösen kann. Der Konkurrent Yubico kritisierte die Entscheidung Googles, einen Fido-Stick in einer Bluetooth-Variante zu veröffentlichen, bereits letztes Jahr: Bluetooth biete nicht denselben Sicherheitsstandard wie NFC oder USB und erfordere Batterien und eine Kopplung mit den verwendeten Geräten, was zu einer schlechten Nutzererfahrung führe. Yubico habe sich bewusst entschieden, keine Bluetooth-Variante seiner Fido-Sticks zu veröffentlichen.

Golem Akademie
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    15.–17. März 2022, Virtuell
  2. Unity Basiswissen: virtueller Drei-Tage-Workshop
    7.–9. Februar 2022, Virtuell
Weitere IT-Trainings

Betroffene Geräte tragen auf der Rückseite am unteren Ende den Schriftzug "T1" oder "T2" in einem Kreis. Ein kostenloser Ersatz kann hier angefordert google.com/replacemykey. Bisher werden die Fido-Sticks von Google nur in den USA vertrieben. Ob sie auch außerhalb der USA ausgetauscht werden, ist nicht bekannt. Golem.de hat einen Titan-Key in den USA erstanden, um ihn zu testen.

Nachtrag vom 16. Mai 2019, 18:00 Uhr

Auch die Bluetooth-Varianten der Fido-Sticks von Feitian sind betroffen. Der Hersteller produziert die Sticks für Google und bietet auch selbst ein Austauschprogramm an: www.ftsafe.com/replacement/.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Corona-Warn-App
Jede geteilte Warnung kostete 100 Euro

Die Bundesregierung hat für die Corona-Warn-App bisher mehr als 130 Millionen Euro ausgegeben. Derzeit gibt es besonders viele rote Warnungen.

Corona-Warn-App: Jede geteilte Warnung kostete 100 Euro
Artikel
  1. Activision Blizzard: Was passiert mit Call of Duty, Diablo und Xbox Game Pass?
    Activision Blizzard
    Was passiert mit Call of Duty, Diablo und Xbox Game Pass?

    Playstation als Verlierer und Exklusivspiele für den Xbox Game Pass: Golem.de über die bislang größte Übernahme durch Microsoft.
    Eine Analyse von Peter Steinlechner

  2. Dice: Update-Roadmap für Battlefield 2042 vorgestellt
    Dice
    Update-Roadmap für Battlefield 2042 vorgestellt

    Ob das reicht? Das Entwicklerstudio Dice hat seine Pläne für Battlefield 2042 vorgestellt. Der Shooter hat extrem niedrige Spielerzahlen.

  3. Energiespeicher: Große Druckluftspeicher locken Investorengelder an
    Energiespeicher
    Große Druckluftspeicher locken Investorengelder an

    Hydrostor bietet eine langlebige Alternative zu Netzspeichern aus Akkus, die zumindest in den 2020er Jahren wirtschaftlich ist.
    Von Frank Wunderlich-Pfeiffer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED 55" 120Hz 999€ • MindStar (u.a. NZXT WaKü 129€, GTX 1660 499€) • Seagate Firecuda 530 1TB inkl. Kühlkörper + 20€ PSN-Guthaben 189,90€ • HP Omen Gaming-Stuhl 319€ • Sony Pulse 3D Wireless PS5 Headset 79,99€ • Huawei MateBook 16,1" 16GB 512GB SSD 709€ [Werbung]
    •  /