Google(グーグル)は米国時間5月15日、Bluetoothによるセキュリティキー「Titan」が、物理的に近い場所から攻撃者によってセキュリティを迂回される危険があると発表した。このバグは、「TitanのBluetoothペアリングのプロトコルにおけるセキュリティキーの設定ミス」によるもので、不完全なキーでもフィッシング攻撃を防げるものの、すべての顧客への無料リコールを実施することになる。
このバグの影響を受けるのは、背面に「T1」あるいは「T2」の表記がある製品だ。なお、TitanはUSB/NFCに対応したBluetoothキーで、50ドル(約5400円)にて販売されている。
このバグでは、攻撃者はBluetoothの範囲内(約30フィート、9.1m)にてキーのボタンを押してアクティブにする際に、すばやく行動する必要がある。そして誤った設定のプロトコルを利用し、本来のデバイスに接続する前に自分のデバイスに接続させる。次に、自分のユーザーネームとパスワードにて、アカウントにサインインするのだ。
Googleはキーを使用する前に、自分のデバイスとペアリングする必要があると説明している。しかし攻撃者はバグを利用し、ボタンを押した際に自分のデバイスへと接続させるように偽造することができる。そして攻撃者は自分のデバイスをキーボードやマウスのように変更し、例えばラップトップをリモート制御することができるのだ。
これらの操作はすべて正確なタイミングで行う必要があり、さらに攻撃者は証明書をあらかじめ知っておく必要がある。つまり、根気強い攻撃者ならうまくいく可能性がある。
Googleはこの問題はTitanの主要な機能となるフィッシング詐欺からの保護には影響しないと主張しており、また交換品が到着するまでは現在のキーを使い続けるべきだとしている。「キーをまったく使用しないよりは、現在のキーを使い続けるほうが遥かに安全だ。現時点でも、セキュリティキーはフィッシング詐欺に対する最も強力な保護手段である」Googleは発表している。
また同社はこのページにて、セキュリティの問題を軽減するいくつかの方法も提供している。
セキュリティキーの分野でGoogleと競合するYubicoは、潜在的なセキュリティの問題を理由にBluetoothの使用を中止し、GoogleがBluetoothによるセキュリティキーをローンチしたことを批判した。
YibiCoの創設者ことStina Ehrensvard氏は、「Yubicoでは以前からBLEのセキュリティキーを開発し、BLE U2Fの標準化に貢献してきましたが、セキュリテやユーザビリティ、耐久性の面で我々の基準に達していないので、製品化を見送ることにしました」と、GoogleがTitanを発表した際に記載している。
[原文へ]
(翻訳:塚本直樹 Twitter)
