Abo
  • IT-Karriere:

Sicherheitslücken in Titan: Google tauscht hauseigenen Fido-Stick aus

Der Sicherheitsschlüssel Titan enthält in seiner Bluetooth-Variante zwei Sicherheitslücken, über welche die Zwei-Faktor-Authentifizierung oder die verwendeten Geräte angegriffen werden können. Google tauscht die Sticks kostenlos aus - bis dahin sollen Nutzer diese jedoch weiter verwenden.

Artikel veröffentlicht am ,
Googles Fido-Stick Titan: Die Bluetooth-Variante (rechts) enthält Sicherheitslücken.
Googles Fido-Stick Titan: Die Bluetooth-Variante (rechts) enthält Sicherheitslücken. (Bild: Martin Wolf/Golem.de)

Eine einfache und vor allem sichere Zwei-Faktor-Authentifizierung verspricht Google mit seinen Fido-Sticks namens Titan. Doch die Sicherheit der Bluetooth-Variante lässt sich aushebeln - allerdings mit recht hohem Aufwand. Google bietet ein kostenloses Austauschprogramm für die betroffenen Titan-Sticks an. Bis zum Austausch könne der Stick weiterverwendet werden, sagt Google. Das sei immer noch sicherer, als ihn nicht zu verwenden. Die Variante des Titan ohne Bluetooth ist nicht betroffen.

Stellenmarkt
  1. zero, Bremen
  2. Diehl Metering GmbH, Nürnberg

Grund für die Sicherheitslücke sei eine Miskonfiguration im Bluetooth-Pairing-Protokoll des Titan. Wird die Bluetooth-Variante des Titan-Sticks von einem Nutzer als zweiter Faktor verwendet, muss er den Button auf dem Stick drücken. Befindet sich ein Angreifer in der Bluetooth-Reichweite von ungefähr 10 Metern, kann er sich in diesem Moment selbst mittels Bluetooth mit dem Titan-Key verbinden und sich mit dem zweiten Faktor bei einem Dienst anmelden. Voraussetzung hierfür ist allerdings, dass der Angreifer auch die Zugangsdaten zu dem entsprechenden Dienst besitzt.

Ein weiterer Angriffsvektor greift nicht den Titan-Stick selbst sondern ein mit ihm verwendetes Gerät an. Wurde der Titan-Stick mit diesem gekoppelt, wird der Nutzer bei jeder Verwendung des Sticks dazu aufgefordert, den Button des Titan zu drücken. Ein Angreifer kann in diesem Moment ein eigenes Gerät als Titan-Stick ausgeben und damit die Bluetooth-Verbindung zu dem Rechner oder Smartphone des Nutzers übernehmen. Anschließend könne der Angreifer versuchen, sein Gerät als Tastatur oder Maus auszugeben und damit beispielsweise Befehle auf dem Smartphone oder Rechner des Nutzers ausführen.

Betroffene Geräte austauschen

"Dieses Sicherheitsproblem hat keine Auswirkungen auf den Hauptzweck von Sicherheitsschlüsseln, nämlich den Schutz vor Phishing durch einen entfernten Angreifer", argumentiert Google in einem Blogeintrag. Die Fido-Sticks seien weiterhin der stärkste Schutz gegen Phishing. In seinem Blogeintrag erklärt Google dennoch, wie ein Nutzer die Kopplung mit Android und iOS lösen kann. Der Konkurrent Yubico kritisierte die Entscheidung Googles, einen Fido-Stick in einer Bluetooth-Variante zu veröffentlichen, bereits letztes Jahr: Bluetooth biete nicht denselben Sicherheitsstandard wie NFC oder USB und erfordere Batterien und eine Kopplung mit den verwendeten Geräten, was zu einer schlechten Nutzererfahrung führe. Yubico habe sich bewusst entschieden, keine Bluetooth-Variante seiner Fido-Sticks zu veröffentlichen.

Betroffene Geräte tragen auf der Rückseite am unteren Ende den Schriftzug "T1" oder "T2" in einem Kreis. Ein kostenloser Ersatz kann hier angefordert google.com/replacemykey. Bisher werden die Fido-Sticks von Google nur in den USA vertrieben. Ob sie auch außerhalb der USA ausgetauscht werden, ist nicht bekannt. Golem.de hat einen Titan-Key in den USA erstanden, um ihn zu testen.

Nachtrag vom 16. Mai 2019, 18:00 Uhr

Auch die Bluetooth-Varianten der Fido-Sticks von Feitian sind betroffen. Der Hersteller produziert die Sticks für Google und bietet auch selbst ein Austauschprogramm an: www.ftsafe.com/replacement/.



Anzeige
Spiele-Angebote
  1. (-55%) 5,40€
  2. 12,49€
  3. 2,99€
  4. 2,99€

blue_think 17. Mai 2019 / Themenstart

Danke für die Infos. Die Versionen bei Amazon wirken nicht so wertig.

Kommentieren


Folgen Sie uns
       


Mordhau Gameplay

Klirrende Klingen und packende Kämpfe mit bis zu 64 Spielern bietet das in einem mittelalterlichen Szenario angesiedelte Actionspiel Mordhau.

Mordhau Gameplay Video aufrufen
LTE-V2X vs. WLAN 802.11p: Wer hat Recht im Streit ums Auto-WLAN?
LTE-V2X vs. WLAN 802.11p
Wer hat Recht im Streit ums Auto-WLAN?

Trotz langjähriger Verhandlungen haben die EU-Mitgliedstaaten die Pläne für ein vernetztes Fahren auf EU-Ebene vorläufig gestoppt. Golem.de hat nachgefragt, ob LTE-V2X bei direkter Kommunikation wirklich besser und billiger als WLAN sei.
Eine Analyse von Friedhelm Greis

  1. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
  2. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

Katamaran Energy Observer: Kaffee zu kochen heißt, zwei Minuten später anzukommen
Katamaran Energy Observer
Kaffee zu kochen heißt, zwei Minuten später anzukommen

Schiffe müssen keine Dreckschleudern sein: Victorien Erussard und Jérôme Delafosse haben ein Boot konstruiert, das ohne fossilen Treibstoff auskommt. Es kann sogar auf hoher See selbst Treibstoff aus Meerwasser gewinnen. Auf ihrer Tour um die Welt wirbt die Energy Observer für erneuerbare Energien.
Ein Bericht von Werner Pluta

  1. Umweltschutz Kanäle in NRW bekommen Ladesäulen für Binnenschiffe
  2. Transport DLR plant Testfeld für autonome Schiffe in Brandenburg
  3. C-Enduro Britische Marine testet autonomes Wasserfahrzeug

Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus
  2. Ingolstadt Audi vernetzt Autos mit Ampeln
  3. Wasserkühlung erforderlich Leistungshunger von Auto-Rechnern soll stark steigen

    •  /