據(jù)外媒報道，近日曝光了谷歌Titan藍(lán)牙安全密鑰中的一個漏洞，該漏洞可能會使接近該密鑰現(xiàn)實位置的攻擊者成功破壞其安全性。

該公司表示，該漏洞是由于“Titan安全密鑰的藍(lán)牙配對協(xié)議配置錯誤”造成的，即使是有故障的密鑰也能抵御網(wǎng)絡(luò)釣魚的攻擊。

不過，該公司仍在為所有現(xiàn)有用戶提供免費(fèi)的密鑰更換，這個漏洞會影響到所有Titan藍(lán)牙密鑰。該密鑰售價50美元，包括一個標(biāo)準(zhǔn)USB／NFC，背面印有“T1”或“T2”的標(biāo)識。

想要利用這個漏洞，攻擊者必須在藍(lán)牙范圍以內(nèi)，并且在用戶按下按鍵激活時迅速行動。然后，攻擊者可以使用錯誤配置的協(xié)議在用戶自己的設(shè)備連接之前將自己的設(shè)備連接到密鑰。這樣，他們可以獲得用戶的賬號和密碼，繼而登錄賬戶。

谷歌還指出，在使用密鑰之前，它必須與用戶的設(shè)備配對。攻擊者還可能通過使用自己的設(shè)備偽裝成安全密鑰，以便在用戶開始配對時連接到設(shè)備。通過這樣做，攻擊者可以將他們的設(shè)備作為鍵盤或鼠標(biāo)，遠(yuǎn)程控制用戶的筆記本電腦。

雖然所有這一切動作都必須在恰當(dāng)?shù)臅r間行動，并且攻擊者必須已經(jīng)知道用戶的證書憑證。但是，一個專業(yè)的黑客可以輕松做到這一點(diǎn)。

谷歌辯稱，這個問題不會影響Titan密鑰的主要任務(wù)，即防止網(wǎng)絡(luò)釣魚攻擊�！笆褂檬苡绊懙拿荑�比不適用還要更加安全，安全密鑰是目前可用的最強(qiáng)大的網(wǎng)絡(luò)釣魚保護(hù)措施，”該公司在今天的公告中寫道。

谷歌在安全密鑰領(lǐng)域的一些競爭對手，包括Yubico，由于潛在的安全問題決定不使用藍(lán)牙，并批評谷歌發(fā)布了藍(lán)牙密鑰。

當(dāng)谷歌發(fā)布其Titan密鑰時，Yubico創(chuàng)始人Stina Ehrensvard寫道：“雖然Yubico之前啟動了BLE安全密鑰的開發(fā)，并為BLE U2F標(biāo)準(zhǔn)的工作做出了貢獻(xiàn)，但我們決定不推出該產(chǎn)品，因為它不符合我們的安全、可用性和耐用性標(biāo)準(zhǔn)�！�