La Google Titan Key forniscono la prova crittografica che gli utenti interagiscono con il servizio legittimo per il quale il token di sicurezza è originariamente registrato. Quindi si è in possesso del proprio token di sicurezza.
Per clonare questo dispositivo è necessario che l’aggressore abbia accesso fisico alla Titan Key della vittima. Inoltre comunque serve del tempo e attrezzature per la configurazione del canale laterale del valore di 10.000 euro (12.000 dollari – 9.000 sterline).
Cos’è la Titan Key?
La maggior parte di noi potrebbe aver sentito parlare dei vantaggi offerti dall’autenticazione a due fattori (2FA). Molti di potrebbero anche utilizzarla, ricevendo un codice una tantum via SMS o e-mail quando si accede a vari siti web. Un modo spesso meno utilizzato per il 2FA comporta l’uso di chiavi fisiche. L’intera misura di autenticazione è più robusta e meno vulnerabile ad attacchi come Sim Swapping. In altre parole, è creata una corrispondenza univoca tra la nostra “identità fisica”, la SIM, e la nostra “identità digitale” ,il numero di telefono. Nell’ultimo caso, un nuovo metodo è ideato dai ricercatori del NinjaLab per bypassare la Titan Key di Google, che è una chiave fisica 2FA mediante la clonazione.
Come funziona la clonazione
Il metodo richiede all’aggressore di conoscere innanzitutto la password della vittima e in secondo luogo di avere accesso alla chiave stessa per circa 10 ore. Oltre a ciò, sono necessari un equipaggiamento del valore di 12000 dollari e un software speciale per l’esecuzione dell’attacco da parte di un attore esperto.
Bisogna aprire fisicamente la Titan Key composta da un involucro di plastica. Ma per farlo si può facilmente separare le due parti con un bisturi o taglierino. Poi si analizza il chip NXP A700X che funge da elemento di sicurezza, memorizzando i segreti crittografici ed eseguendo operazioni crittografiche per farlo funzionare. L’intero processo è comunque macchinoso ed è per questo che sono necessarie almeno 10 ore perché l’aggressore abbia accesso alla chiave Titan.
Non all’altezza di tutti
Pertanto, non ci aspetteremmo che i singoli individui sfruttino questa possibilità. I grandi gruppi di black hat e gli aggressori sostenuti dallo Stato sono più propensi a farlo. Poiché la vulnerabilità (CVE-2021-3011) è incentrata sul possesso fisico del dispositivo, i ricercatori non hanno ricevuto alcuna ricompensa da Google in quanto non rientra nell’ambito del loro programma di bug bounty.
Per concludere, ciò non rende l’uso di chiavi fisiche più pericoloso dei metodi digitali in alcun modo. Chi di voi usa la chiave Titan di Google o qualsiasi altro dispositivo simile dovrebbe continuare a farlo. L’unica precauzione importante da prendere è evitare di consegnare la chiave a terzi, anche per un breve periodo di tempo.
