جوجل تكشف عن مشكلة أمنية فى مفاتيح الامان Titan



أفصحت مؤسسة جوجل اليوم عن تفاصيل إشكالية أمنية – اكتشفتها مؤسسة مايكروسوفت – في نسخة BLE من مفتاحها للأمان Titan، مع توفيرها، على نحو بدون مقابل، مفتاحًا بديلًا لجميع المستعملين الحاليين.


وتسمح المشكلة لشخص قريب – على بُعد حوالي 30 قدمًا – بالتحايل على الأمان الذي يفترض أن يوفره المفتاح، ويمكنه من الوصول إليه، أو إلى الجهاز المُقترن به، خلال مسعى المستعمل تفعيل المفتاح، أو إقران أجهزته.

وتقول عملاقة البحث: إن تلك الإشكالية مرتبطة بإعداد غير صحيح في بروتوكول الاقتران بالبلوتوث ضمن مفتاح الأمان Titan، وإن الإشكالية لا يقع تأثيرها على تمكُّن المفاتيح المعيبة على حراسة المستعملين من هجمات التصيد الاحتيالي عن بُعد، لكنها تكشف عن وجود فجوة هائلة في أمان الجهاز.

وتؤثر تلك الإشكالية على جميع مفاتيح Titan التي تعمل بالبلوتوث، المباعة بمبلغ 50 دولارًا، ضمن مجموعة تحتوي أيضًا مفتاحًا قياسيًا عاملًا بتقنية USB/NFC، التي تتضمن على شعار “T1” أو “T2” في الجهة الخلفية.

وقد تؤدي تلك الإشكالية إلى إضعاف الدعايات الأخيرة لشركة جوجل بشأن الخصوصية والأمان، والتي أصبحت إشكالية عظيمة في وادي السيليكون.

ودعا المدير التنفيذي للشركة، سوندار بيتشاي Sundar Pichai، مؤجلًا – عبر مقالة افتتاحية في جريدة نيويورك تايمز – إلى إضفاء الطابع الديمقراطي على الخصوصية، في أعقاب الكشف عن عدد من ميزات الخصوصية الحديثة في لقاء مطوري جوجل السنوي Google I/O 2019.


وأوصت المؤسسة باستكمال استعمال المفاتيح المتأثرة حتى استبدالها، ويجب على المستهلك – كتصرف وقائي إضافي – استعمال المفتاح عندما لا يكون بجوار أفراد آخرين، قد يحاولون الوصول إلى أجهزته، ثم إزاحة المفتاح فورًا في أعقاب إلحاق الدخول، على حاجز قول جوجل.

ومع هذا، فلن يقدر على مستخدمو آي أو إس iOS – الذين قاموا بالتحديث إلى الإنتاج 12.3 – من إلحاق الدخول إلى أي حسابات متعلقة بالمفتاح، حتى يحصلوا على المفتاح البديل، وحذرت المؤسسة المستعملين بالاحتفاظ بتسجيل الدخول إلى حساباتهم على أجهزة iOS، حتى يبلغ المفتاح البديل.

وقد كانت جوجل قد أفصحت – أثناء أحداث مؤتمرها المسمى Google Cloud Next 2018 في شهر شهر أغسطس الزمن الفائت – عن إطلاقها مفتاح الأمان الجوهري المسمى Titan، والذي يتيح للمستخدمين إلحاق الدخول إلى حساباتهم على الحواسيب، عن طريق مصادقة الهوية عبر USB، أو Bluetooth.

ويهدف مفتاح Titan إلى إدخار طبقة إضافية من الدفاع للمستخدمين، الذين يأملون في حظر إستيلاء على حساباتهم من خلال هجمات التصيد الاحتيالي، وهذا بواسطة ربط المصادقة الثنائية بالمفتاح، بحيث يمنع المفتاح الوصول غير المصرح به إلى حسابات المستهلك على الإنترنت.

ويستعمل المفتاح البروتوكول المحدد من قبل اتحاد FIDO، الأمر الذي يجعله متوافقًا تقريبًا مع أي خدمة تسمح للمستخدمين بتشغيل U2F، وهو مقياس مصادقة مفتوح المصرح بالخبر، يسعى تقوية وتبسيط المصادقة الثنائية 2FA.


وتعتبر المصادقة الثنائية باعتبار طبقة أمان إضافية فوق كلمة السر، حيث ينبغي ادخال نموزج المصادقة، والذي يمكن الحصول عليه عن طريق برقية نصية قصيرة، أو عبر استعمال تنفيذ ناحية مصادقة، بهدف الوصول إلى الحساب، الأمر الذي يعاون في التخفيف من مخاطر الخداع.

إرسال تعليق

0 تعليقات