Un equipo de investigadores de seguridad de Microsoft descubriĆ³ una vulnerabilidad potencialmente grave en la versiĆ³n compatible con Bluetooth de las claves de seguridad Titan de Google que no se pudo reparar con una actualizaciĆ³n de software.

Sin embargo, los usuarios no deben preocuparse, ya que Google ha anunciado que ofrecerĆ” un reemplazo gratuito para los dongles de seguridad de Titan afectados.

En un aviso de seguridad publicado el miĆ©rcoles, Google dijo que una "mala configuraciĆ³n en los protocolos de emparejamiento de Bluetooth de Titan Security Keys" podrĆ­a permitir que un atacante fĆ­sicamente cerca de su clave de seguridad (~ dentro de 30 pies) se comunique con Ć©l o con el dispositivo en el que se encuentra su clave o con el que estĆ© emparejado.

Lanzado por Google en agosto del aƱo pasado, Titan Security Key es un dispositivo USB de bajo costo que ofrece autenticaciĆ³n de dos factores basada en hardware (2FA) para cuentas en lĆ­nea con el nivel mĆ”s alto de protecciĆ³n contra ataques de phishing.

La clave de seguridad Titan, que se vende a $ 50 en la tienda Google, incluye dos claves: una clave de seguridad USB-A con NFC y una clave Bluetooth / NFC equipada con baterĆ­a y equipada con Micro-USB para la autenticaciĆ³n segura de dos factores.

SegĆŗn Google, la vulnerabilidad solo afecta a la versiĆ³n BLE de las claves de seguridad de Titan que tienen un signo "T1" o "T2" en la parte posterior de la misma. Las otras claves de seguridad que no son Bluetooth, o que son versiones compatibles con USB o NFC, son seguras de usar .

Originalmente, Microsoft descubriĆ³ la vulnerabilidad y la revelĆ³ a Google, asĆ­ como a Feitian, la compaƱƭa que fabrica Titan Keys para Google y tambiĆ©n vende el mismo producto (ePass) bajo su propia marca.

Feitian tambiĆ©n hizo una divulgaciĆ³n coordinada sobre esta vulnerabilidad el mismo dĆ­a que Google y estĆ” ofreciendo un programa de reemplazo gratuito para sus usuarios.

Como el problema solo afecta al protocolo de emparejamiento de Bluetooth y no a la seguridad criptogrƔfica de la clave en sƭ, Google recomienda a los usuarios afectados que sigan usando sus claves existentes hasta que obtengan un reemplazo.

Google tambiĆ©n dice que la clave de seguridad de Bluetooth es aĆŗn mĆ”s segura que apagarla por completo o confiar en otros mĆ©todos de autenticaciĆ³n de dos factores como SMS o llamadas telefĆ³nicas.