A luglio 2018 Google ha lanciato la sua chiavetta Titan, soluzione basata sullo standard FIDO2 che permette di utilizzare l’autenticazione a due fattori su un gran numero di servizi: Google lancia la sua Titan Security Key per l’autenticazione a due fattori.
Google Titan può autenticare l’utente inserendo la chiavetta in una porta USB oppure consente di utilizzare Bluetooth.
I portavoce di Yubico, famosa azienda che progetta, produce e commercializza chiavette FIDO2, facilmente acquistabili su Amazon, avevano criticato la scelta di Google spiegando che usare lo standard Bluetooth può esporre a rischi dal momento che tale tecnologia non è pensata per offrire sufficienti garanzie in termini di sicurezza.
Detto, fatto. Google ha informato gli utenti possessori di una chiavetta Titan che le versioni Bluetooth della stessa soffrono di un problema di sicurezza. La vulnerabilità risiede nel meccanismo di pairing che le chiavette Titan in versione Bluetooth utilizzano.
Utenti malintenzionati che si ponessero fisicamente vicino all’altrui chiavetta Titan in versione Bluetooth (in un raggio di circa 10 metri) potrebbero connettere i loro dispositivi al token di Google prima ancora che lo faccia l’utente.
Le probabilità che venga effettivamente posto in essere un attacco del genere ma Google ha deciso di richiamare tutte le chiavette Titan vulnerabili contraddistinte, sul retro, dai codici T1 e T2.