Mesmo as ferramentas de segurança mais resistentes do Google não podem proteger contra essa falha

As chaves de segurança física do Google podem ser alvos de hackers que procuram invadir os dispositivos dos usuários e roubar dados pessoais, descobriu uma nova pesquisa.
Os especialistas em segurança descobriram uma vulnerabilidade que afeta o hardware incluído nas chaves de segurança de hardware do Google Titan e YubiKey, que se tornaram populares entre os usuários que procuram esse nível extra de proteção.
A falha parece expor as chaves de criptografia usadas para proteger um dispositivo, deixando-o inseguro e aberto a ataques de fontes externas.
Desbloqueado
As descobertas vêm de Victor Lomne e Thomas Roche, pesquisadores do NinjaLab baseado em Montpellier, que examinaram todas as versões da chave de segurança Titan do Google, a Yubico Yubikey Neo, e vários dispositivos Feitian FIDO (Feitian FIDO NFC USB-A / K9, Feitian MultiPass FIDO / K13, Feitian ePass FIDO USB-C / K21 e Feitian FIDO NFC USB-C / K40)
A dupla descobriu uma falha que poderia permitir que os hackers recuperassem a chave de criptografia primária usada pelo dispositivo de chave para gerar tokens criptográficos usados em operações de autenticação de dois fatores (2FA).
Isso pode permitir que os agentes da ameaça clonem o Titan, YubiKey e outras chaves específicas, o que significa que os hackers podem contornar os procedimentos 2FA que visam oferecer aos usuários um nível extra de proteção.
No entanto, para que o ataque funcione, o hacker precisaria obter fisicamente o dispositivo da chave de segurança, pois ele não funcionará na Internet. Isso pode significar que quaisquer dispositivos perdidos ou roubados podem ser usados e clonados temporariamente, antes de serem devolvidos à vítima.
Depois de concluído, no entanto, os invasores podem clonar as chaves de criptografia usadas para proteger os dispositivos Google ou Yubico, permitindo o acesso.
Os pesquisadores também notaram que as próprias chaves ofereciam uma proteção robusta contra ataques, lutando fortemente contra o calor e a pressão para resistir às tentativas de arrombamento com as mãos.
Isso significa que, se um invasor conseguir roubar uma chave, digamos, de um escritório ou fábrica, será difícil devolvê-la nas mesmas condições em que estava.
Procurado pela ZDNet, o Google destacou este fato, lembrando que tal ataque seria difícil de realizar em “circunstâncias normais”.
Através da ZDNet