Abo
  • IT-Karriere:

Sicherheitslücken in Titan: Google tauscht hauseigenen Fido-Stick aus

Der Sicherheitsschlüssel Titan enthält in seiner Bluetooth-Variante zwei Sicherheitslücken, über welche die Zwei-Faktor-Authentifizierung oder die verwendeten Geräte angegriffen werden können. Google tauscht die Sticks kostenlos aus - bis dahin sollen Nutzer diese jedoch weiter verwenden.

Artikel veröffentlicht am ,
Googles Fido-Stick Titan: Die Bluetooth-Variante (rechts) enthält Sicherheitslücken.
Googles Fido-Stick Titan: Die Bluetooth-Variante (rechts) enthält Sicherheitslücken. (Bild: Martin Wolf/Golem.de)

Eine einfache und vor allem sichere Zwei-Faktor-Authentifizierung verspricht Google mit seinen Fido-Sticks namens Titan. Doch die Sicherheit der Bluetooth-Variante lässt sich aushebeln - allerdings mit recht hohem Aufwand. Google bietet ein kostenloses Austauschprogramm für die betroffenen Titan-Sticks an. Bis zum Austausch könne der Stick weiterverwendet werden, sagt Google. Das sei immer noch sicherer, als ihn nicht zu verwenden. Die Variante des Titan ohne Bluetooth ist nicht betroffen.

Stellenmarkt
  1. Tönnies Lebensmittel GmbH & Co. KG, Rheda-Wiedenbrück
  2. afb Application Services AG, München

Grund für die Sicherheitslücke sei eine Miskonfiguration im Bluetooth-Pairing-Protokoll des Titan. Wird die Bluetooth-Variante des Titan-Sticks von einem Nutzer als zweiter Faktor verwendet, muss er den Button auf dem Stick drücken. Befindet sich ein Angreifer in der Bluetooth-Reichweite von ungefähr 10 Metern, kann er sich in diesem Moment selbst mittels Bluetooth mit dem Titan-Key verbinden und sich mit dem zweiten Faktor bei einem Dienst anmelden. Voraussetzung hierfür ist allerdings, dass der Angreifer auch die Zugangsdaten zu dem entsprechenden Dienst besitzt.

Ein weiterer Angriffsvektor greift nicht den Titan-Stick selbst sondern ein mit ihm verwendetes Gerät an. Wurde der Titan-Stick mit diesem gekoppelt, wird der Nutzer bei jeder Verwendung des Sticks dazu aufgefordert, den Button des Titan zu drücken. Ein Angreifer kann in diesem Moment ein eigenes Gerät als Titan-Stick ausgeben und damit die Bluetooth-Verbindung zu dem Rechner oder Smartphone des Nutzers übernehmen. Anschließend könne der Angreifer versuchen, sein Gerät als Tastatur oder Maus auszugeben und damit beispielsweise Befehle auf dem Smartphone oder Rechner des Nutzers ausführen.

Betroffene Geräte austauschen

"Dieses Sicherheitsproblem hat keine Auswirkungen auf den Hauptzweck von Sicherheitsschlüsseln, nämlich den Schutz vor Phishing durch einen entfernten Angreifer", argumentiert Google in einem Blogeintrag. Die Fido-Sticks seien weiterhin der stärkste Schutz gegen Phishing. In seinem Blogeintrag erklärt Google dennoch, wie ein Nutzer die Kopplung mit Android und iOS lösen kann. Der Konkurrent Yubico kritisierte die Entscheidung Googles, einen Fido-Stick in einer Bluetooth-Variante zu veröffentlichen, bereits letztes Jahr: Bluetooth biete nicht denselben Sicherheitsstandard wie NFC oder USB und erfordere Batterien und eine Kopplung mit den verwendeten Geräten, was zu einer schlechten Nutzererfahrung führe. Yubico habe sich bewusst entschieden, keine Bluetooth-Variante seiner Fido-Sticks zu veröffentlichen.

Betroffene Geräte tragen auf der Rückseite am unteren Ende den Schriftzug "T1" oder "T2" in einem Kreis. Ein kostenloser Ersatz kann hier angefordert google.com/replacemykey. Bisher werden die Fido-Sticks von Google nur in den USA vertrieben. Ob sie auch außerhalb der USA ausgetauscht werden, ist nicht bekannt. Golem.de hat einen Titan-Key in den USA erstanden, um ihn zu testen.

Nachtrag vom 16. Mai 2019, 18:00 Uhr

Auch die Bluetooth-Varianten der Fido-Sticks von Feitian sind betroffen. Der Hersteller produziert die Sticks für Google und bietet auch selbst ein Austauschprogramm an: www.ftsafe.com/replacement/.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 49,99€

blue_think 17. Mai 2019

Danke für die Infos. Die Versionen bei Amazon wirken nicht so wertig.


Folgen Sie uns
       


Radeon RX 5700 (XT) - Test

Die Navi-10-Grafikkarten schlagen die Geforce RTX 2060(S), benötigen aber etwas mehr Energie und unterstützen kein Hardware-Raytracing, dafür sind sie günstiger.

Radeon RX 5700 (XT) - Test Video aufrufen
CO2-Emissionen und Lithium: Ist das Elektroauto wirklich ein Irrweg?
CO2-Emissionen und Lithium
Ist das Elektroauto wirklich ein Irrweg?

In den vergangenen Monaten ist die Kritik an batteriebetriebenen Elektroautos stärker geworden. Golem.de hat sich die Argumente der vielen Kritiker zur CO2-Bilanz und zum Rohstoff-Abbau einmal genauer angeschaut.
Eine Analyse von Friedhelm Greis

  1. Reichweitenangst Mit dem E-Auto von China nach Deutschland
  2. Ari 458 Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro
  3. Nobe 100 Dreirädriges Retro-Elektroauto parkt senkrecht an der Wand

Razer Blade 15 Advanced im Test: Treffen der Generationen
Razer Blade 15 Advanced im Test
Treffen der Generationen

Auf den ersten Blick ähneln sich das neue und das ein Jahr alte Razer Blade 15: Beide setzen auf ein identisches erstklassiges Chassis. Der größte Vorteil des neuen Modells sind aber nicht offensichtliche Argumente - sondern das, was drinnen steckt.
Ein Test von Oliver Nickel

  1. Blade 15 Advanced Razer packt RTX 2080 und OLED-Panel in 15-Zöller
  2. Blade Stealth (2019) Razer packt Geforce MX150 in 13-Zoll-Ultrabook

Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

    •  /