‘Google vervangt Titan 2FA-beveiligingssleutels vanwege een kwetsbaarheid’
Het inloggen met tweefactor-authenticatie (2FA) is de afgelopen jaren behoorlijk toegenomen. Deze groei is mede veroorzaakt door een groot aantal lekken van beveiligingsgegevens gedurende de afgelopen jaren. In veel gevallen gaat het om 2FA via een sms of 2FA-applicatie, zoals Authy of Google’s eigen 2FA-app. Daarnaast blijken 2FA-sleutels ook steeds populairder: in plaats van een app op je telefoon of het ontvangen van een sms, plaats je in de meeste gevallen een USB-stick in je computer. Met de sleutel kan je vervolgens de applicatie ontgrendelen. Met de Google Titan 2FA-sleutels verloopt het via een BLE (Bluetooth Low Energy)-verbinding, al lijkt Google daar inmiddels een kwetsbaarheid in te hebben gevonden.
Onthulling Feitain en Google
Via zijn eigen blog heeft het bedrijf aangegeven dat er een kwetsbaarheid zit in de Titan Bluetooth 2FA-sleutels. Het blijkt ernstig genoeg dat het bedrijf zelfs heeft besloten om ze gratis te vervangen. De kwetsbaarheid, die Microsoft heeft gerapporteerd aan Google en de fabrikant van de sleutels, heeft van doen met protocol om de sleutel met je apparaten te ‘pairen’. Met de kwetsbaarheid zou het voor hackers mogelijk zijn om toegang te krijgen tot gebruikersaccount, al ziet het er naar uit dat het enkel kan gebeuren in zeer gerichte aanvallen, met een vrij gecompliceerde methode. Feitian, de fabrikant van de 2FA-sleutel, bracht deze informatie in een gecoördineerde onthulling naar buiten.
In de onthulling staan twee manieren waarop het pairing-proces van de BLE-verbinding misbruikt kan worden. Voor de eerste methode moet de hacker binnen 9,14 meter van je sleutel aanwezig zijn. Vervolgens zou de hacker ‘vrij gemakkelijk’ verbinding kunnen maken met je 2FA-sleutel zodra jij op de knop drukt om de authenticatie uit te voeren. Om vervolgens misbruik te kunnen maken van je sleutel moet de persoon wel de beschikking hebben over je inloggegevens. Een tweede vorm van misbruik kan plaatsvinden zodra je de sleutel voor het eerst met je apparaat verbindt. Hackers kunnen zich namelijk als de sleutel vermommen en na het verbinden werken als een muis of toetsenbord, net zoals bij andere Bluetooth-apparaten.
‘Blijf de sleutels gebruiken’
Het is een behoorlijke reeks aan acties die je uit moet voeren, alvorens er misbruik gemaakt kan worden van de beveiligingssleutel. Tegelijkertijd moet de hacker precies op het juiste moment zijn handelingen uitvoeren. Toch is het een ernstige zaak dat een sleutel, die gemaakt is om accounts te beveiligen, kwetsbaar is. Maar de kans dat je slachtoffer wordt van het voorval is relatief klein. In het bericht op de website van Google is dan ook het advies terug te lezen om de 2FA-sleutel te blijven gebruiken. Ondanks de kwetsbaarheid, blijft de sleutel veiliger dan het afkoppelen van de sleutel. Of Google de sleutels in Europa zal vervangen is onbekend, het bedrijf focust zich momenteel op de VS.