أعلنت شركة غوغل اليوم الخميس عن تفاصيل مشكلة أمنية – اكتشفتها شركة مايكروسوفت – في نسخة BLE من مفتاحها للأمان Titan، مع توفيرها، بشكل مجاني، مفتاحًا بديلًا لجميع المستخدمين الحاليين.

وتسمح المشكلة لشخص قريب – على بُعد حوالي 30 قدمًا – بالتحايل على الأمان المُفترض أن يوفره المفتاح، والوصول إليه أو إلى الجهاز المُقترن به أثناء محاولة المستخدم تنشيط المفتاح أو إقران أجهزته.

وتقول عملاقة البحث: إن هذه المشكلة متعلقة بإعداد خاطئ في بروتوكول الاقتران بالبلوتوث، ضمن مفتاح الأمان Titan، وإن المشكلة لا تؤثر على قدرة المفاتيح المعيبة على حماية المستخدمين من هجمات التصيد الاحتيالي عن بُعد، لكنها تكشف عن وجود فجوة كبيرة في أمان الجهاز.

وتؤثر هذه المشكلة على جميع مفاتيح Titan العاملة بالبلوتوث، المباعة بمبلغ 50 دولارًا ضمن مجموعة تتضمن أيضًا مفتاحًا قياسيًا عاملًا بتقنية USB/NFC، التي تحتوي على شعار “T1” و “T2” في الجهة الخلفية.

وقد تؤدي هذه المشكلة إلى إضعاف الإعلانات الأخيرة لشركة غوغل حول الخصوصية والأمان، والتي أصبحت مشكلة كبيرة في وادي السيليكون.

ودعا الرئيس التنفيذي للشركة، سوندار بيتشاي Sundar Pichai، مؤخرًا – عبر مقالة افتتاحية في صحيفة نيويورك تايمز – إلى إضفاء الطابع الديمقراطي على الخصوصية بعد الكشف عن مجموعة من ميزات الخصوصية الجديدة في مؤتمر مطوري جوجل السنوي Google I/O 2019.

وأوصت الشركة بمواصلة استخدام المفاتيح المتأثرة حتى استبدالها، ويجب على المستخدم – كإجراء وقائي إضافي – استخدام المفتاح عندما لا يكون بالقرب من أشخاص آخرين قد يحاولون الوصول إلى أجهزته، ثم إزالة المفتاح فورًا بعد تسجيل الدخول، على حد قول جوجل.

ومع ذلك، فلن يتمكن مستخدمو آي أو إس iOS – الذين قاموا بالتحديث إلى الإصدار 12.3 – من تسجيل الدخول إلى أي حسابات مرتبطة بالمفتاح حتى يحصلوا على المفتاح البديل، ونصحت الشركة المستخدمين بالاحتفاظ بتسجيل الدخول إلى حساباتهم على أجهزة iOS حتى يصل المفتاح البديل.

وكانت غوغل قد أعلنت خلال فعاليات مؤتمرها المسمى Google Cloud Next 2018 في شهر أغسطس الماضي عن إطلاقها مفتاح الأمان المادي المسمى Titan، والذي يتيح للمستخدمين تسجيل الدخول إلى حساباتهم على الحواسيب من خلال مصادقة الهوية عبر USB أو Bluetooth.

ويهدف مفتاح Titan إلى توفير طبقة إضافية من الحماية للمستخدمين الذين يأملون في منع سرقة حساباتهم عن طريق هجمات التصيد الاحتيالي، وذلك من خلال ربط المصادقة الثنائية بالمفتاح، بحيث يمنع المفتاح الوصول غير المصرح به إلى حسابات المستخدم على الإنترنت.

ويستخدم المفتاح البروتوكول المحدد من قبل تحالف FIDO، مما يجعله متوافقًا تقريبًا مع أي خدمة تسمح للمستخدمين بتشغيل U2F، وهو معيار مصادقة مفتوح المصدر يعمل على تقوية وتبسيط المصادقة الثنائية 2FA.

وتعد المصادقة الثنائية بمثابة طبقة أمان إضافية فوق كلمة المرور، حيث ينبغي إدخال رمز المصادقة، والذي يمكن الحصول عليه من خلال رسالة نصية قصيرة أو عبر استخدام تطبيق جهة مصادقة، من أجل الوصول إلى الحساب، مما يساعد في التخفيف من مخاطر الخداع.