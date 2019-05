Sono passati diversi mesi da quando Google ha lanciato la chiave di sicurezza Titan, che almeno teoricamente dovrebbe fornire il massimo livello di protezione per il proprio account Google. Tuttavia, secondo quanto ammesso dallo stesso gigante del web, la chiave è soggetta a qualche problema di sicurezza.

In un avviso di sicurezza pubblicato di recente, la compagnia di Mountain View annuncia di aver richiamato le versioni Bluetooth della Titan Security Key dopo aver riscontrato una vulnerabilità che consente agli aggressori nelle immediate vicinanze di prendere il controllo del dispositivo.

Il problema riguarderebbe tutte le chiavi delle serie T1 e T2, indicate sul retro, e sarebbe abbastanza serio al punto che Google offrirà la sostituzione gratuita con versioni più recenti e sicure. Coloro che sono interessati dal problema possono rivolgersi al sito google.com/replacemykey per chiedere la sostituzione.

Google sottolinea che "il bug interessa solo l'accoppiamento Bluetooth delle chiavi, il che vuol dire che quelle non-Bluetooth non sono influenzate. Invitiamo gli utenti che le stanno utilizzando ad interrompere l'uso in attesa della sostituzione".

Il difetto a quanto pare deriva dall'errata configurazione dei protocolli di accoppiamento Bluetooth, che rendono "possibile ad un utente malintenzionato fisicamente vicino" di comunicare sia con la chiave di sicurezza che con il dispositivo a cui è abbinata.

Per sfruttare il difetto però l'utente malintenzionato dovrebbe trovarsi a pochi metri di distanza e collegare rapidamente il proprio dispositivo alla chiave. Il tentativo però dovrebbe andare a buon fine solo nel caso in cui l'utente dovesse conoscere i dettagli del nome utente e la password dell'account Google.

Nello stesso post Google sottolinea anche una seconda vulnerabilità che sfrutta il meccanismo di accoppiamento e che consente ad un utente di mascherare il proprio dispositivo come chiave di sicurezza e connettersi al dispositivo quando si preme il pulsante sulla chiave. In questo modo sarebbe possibile cambiare la tipologia per far apparire il proprio PC come una tastiera o mouse Bluetooth e quindi utilizzarlo per eseguire comandi dannosi.

Google sottolinea che almeno al momento non sono stati rilevati casi in cui gli exploit siano stati utilizzati per accedere agli account, ma in via precauzionale ha comunque preferito effettuare il richiamo.