Si può clonare la Google titan key è ufficiale!!
Buongiorno cari lettori, oggi parleremo del fatto che hanno clonato la google titan key.
L'aggressione richiede che l'aggressore abbia accesso fisico alla Titan Key della vittima, ore di tempo e attrezzature per la configurazione del canale laterale del valore di 10.000 euro (12.000 dollari - 9.000 sterline).
La maggior parte di voi potrebbe aver sentito parlare dei vantaggi offerti dall'autenticazione a due fattori (2FA). Molti di voi potrebbero anche utilizzarla, ricevendo un codice una tantum via SMS o e-mail quando si accede a vari siti web.
Tuttavia, un modo spesso meno utilizzato per il 2FA comporta l'uso di chiavi fisiche che rendono l'intera misura di autenticazione più robusta e meno vulnerabile ad attacchi come Sim Swapping.
Nell'ultimo caso, un nuovo metodo è stato ideato dai ricercatori del NinjaLab per bypassare la Titan Key di Google, che è una chiave fisica 2FA mediante la clonazione.
Il metodo richiede all'aggressore di conoscere innanzitutto la password della vittima e in secondo luogo di avere accesso alla chiave stessa per circa 10 ore. Oltre a ciò, sono necessari un equipaggiamento del valore di 12000 dollari e un software speciale per l'esecuzione dell'attacco da parte di un attore esperto.
L'involucro di plastica [sulla chiave Titan] è costituito da due parti fortemente incollate tra loro, e non è facile separarle con un coltello, un cutter o un bisturi. Abbiamo usato una pistola ad aria calda per ammorbidire la plastica bianca e per poter separare facilmente le due parti dell'involucro con un bisturi.
Poi si analizza il chip NXP A700X che "funge da elemento di sicurezza, memorizzando i segreti crittografici ed eseguendo operazioni crittografiche" per farlo funzionare.
L'intero processo è comunque macchinoso ed è per questo che sono necessarie almeno 10 ore perché l'aggressore abbia accesso alla chiave Titan.
D'altra parte, è importante rendersi conto che un tale attacco richiederebbe un'enorme quantità di lavoro da eseguire, il che è autoesplicativo visto anche il budget richiesto.
Pertanto, non ci aspetteremmo che i singoli individui sfruttino questa possibilità, i grandi gruppi di black hat e gli aggressori sostenuti dallo Stato sono più propensi a farlo.
Poiché la vulnerabilità (CVE-2021-3011) è incentrata sul possesso fisico del dispositivo, i ricercatori non hanno ricevuto alcuna ricompensa da Google in quanto non rientra nell'ambito del loro programma di bug bounty.
Per concludere, ciò non rende l'uso di chiavi fisiche più pericoloso dei metodi digitali in alcun modo, e chi di voi usa la chiave Titan di Google o qualsiasi altro dispositivo simile dovrebbe continuare a farlo. L'unica precauzione importante da prendere è evitare di consegnare la chiave a terzi, anche per un breve periodo di tempo.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
