พบช่องโหว่ในเครื่องมือตรวจสอบบัญชีผู้ใช้ที่ขึ้นชื่อว่าปลอดภัยที่สุดของGoogle

Google ได้ออกมาแจ้งว่า..

พวกเขาจะรับเปลี่ยนคืน Titan Security Key ในรุ่นที่มีความเสี่ยงและคาดว่าจะได้รับผลกระทบจากช่องโหว่ โดยที่ลูกค้าไม่ต้องจ่ายเงินเพิ่ม

ความผิดพลาดในการตั้งค่า (Misconfigured) ของโปรโตคอลการจับคู่อุปกรณ์ (Bluetooth Pairing Protocol) ใน Titan Security Keysของ Googleอาจเปิดโอกาสให้ผู้โจมตีสามารถหลีกเลี่ยงการเข้ารหัสและเข้ายึดบัญชีผู้ใช้ (User Accounts) นี่คือการเปิดเผยข้อมูลจากทางบริษัท

นอกจากนี้ Google ยังได้กล่าวอีกว่า พวกเขาจะเริ่มให้บริการรับเปลี่ยนคืน (Replacements) ผลิตภัณฑ์ เพื่อทดแทนสิ่งที่ครั้งหนึ่งมันเคยถูกเรียกว่า "วิธีป้องกันการโจมตีแบบ Phishingที่แข็งแกร่งที่สุด ที่มีวางจำหน่ายในปัจจุบัน ด้วยการทำงานที่มีขั้นตอนการตรวจสอบเพื่อยืนยันตัวตนแบบสองขั้นตอน หรือ 2-Step Verification (2SV)" หลังจากที่ได้มีการตรวจพบเกี่ยวกับช่องโหว่ที่สามารถเปิดเผยข้อมูลเกี่ยวกับบัญชีผู้ใช้ (Account Information) และรหัสผ่านไปยังผู้บุกรุกที่อยู่ในระยะสัญญาณบลูทูธ(Bluetooth)

ทางบริษัทได้ให้การรับรองกับลูกค้าว่าSecurity Key ซึ่งเป็นเทคโนโลยีที่เปิดตัวครั้งแรกในปี 2017นั้น พวกมันจะยังคงทำงานและให้บริการการยืนยันตัวตนผู้ใช้งานแบบ Multi-Factor Authentication ซึ่งเป็นการยืนยันตัวตนด้วยหลักฐานหลายๆ อย่าง ที่สร้างขึ้นเพื่อมาตรฐาน FIDO ที่เป็นการยืนยันตัวตนบนโลกออนไลน์ที่แข็งแกร่งกว่าแบบ2SV ปกติ แต่จะได้รับการยกเว้นในเรื่องของค่าใช้จ่ายเป็นเงินจำนวน $50 ในกรณีที่ลูกค้าต้องการเครื่องทดแทน

"ข้อบกพร่องดังกล่าวมีผลต่อการจับคู่ของบลูทูธเท่านั้น ดังนั้น Security Key ที่ไม่ใช่รุ่นที่เป็นBluetooth จึงไม่ได้รับผลกระทบ" Christiaan Brand ผู้จัดการฝ่ายผลิตภัณฑ์ของ Google Cloud กล่าว "ผู้ใช้งานปัจจุบันของ Titan Security Key ประเภทBluetooth ก็ควรที่จะใช้Keyที่มีอยู่ต่อไปในขณะที่รอการเปลี่ยนเครื่อง เนื่องจาก Security Key ดังกล่าวก็ยังคงให้การป้องกันที่แข็งแกร่งที่สุดสำหรับการโจมตีแบบ Phishing"

ขณะที่ผู้ใช้งานTitan Security Key พยายามจะลงชื่อเข้าใช้บัญชีของตัวเอง ผู้ใช้จะต้องทำการกดปุ่มบนคีย์ Bluetooth เพื่อทำการตรวจสอบสิทธิ์ (Authenticate) ในการเข้าสู่ระบบ ซึ่งก็พบว่า ในทันทีหลังจากที่ผู้ใช้งาน Titan กดปุ่มนี้ ผู้โจมตีจะมีหน้าต่างแคบๆ เพื่อเชื่อมต่ออุปกรณ์ของตนเองกับ Security Key และนั่นอาจส่งผลให้ผู้โจมตีสามารถเข้าสู่บัญชีของผู้ใช้งานจากอุปกรณ์ของพวกเขา ในกรณีที่พวกเขาได้อีเมลและรหัสผ่านของผู้ใช้เรียบร้อยแล้ว

สำหรับ Titan Security Key นั้น การทำงานของมันจะเป็นการทำหน้าที่ในส่วนของขั้นตอนการรับรองความถูกต้อง (Authentication) และเชื่อมโยงกับอุปกรณ์ของผู้ใช้ ไม่ว่าจะเป็นโทรศัพท์หรือแล็ปท็อป โดยเป็นการเชื่อมต่อผ่านบลูทูธ ส่วนช่องโหว่ในการเชื่อมต่อผ่านทางบลูทูธก็คือ ผู้โจมตีสามารถหลอกโทรศัพท์หรือแล็ปท็อปให้คิดว่าอุปกรณ์ของผู้โจมตีนั้นเป็นSecurity Key ซึ่งจะทำให้ Hacker สามารถสวมรอยเป็นผู้ใช้งานได้ในทันที และถ้าหากทำสำเร็จผู้โจมตีก็สามารถที่จะข้ามขั้นตอนในการตรวจสอบสิทธิ์ และเริ่มทำการเปลี่ยนแปลงอุปกรณ์ต่างๆ ของผู้ใช้โดยการลอกเลียนแบบแป้นพิมพ์และเมาส์ได้จากภายนอก
อาจจะยังคงเป็นที่ถกเถียงกันอยู่ถึงสถานการณ์ที่ผู้โจมตีสามารถเข้าถึงข้อมูลบัญชี (Account Credential) ของคุณ รวมถึงรู้ว่าคุณกำลังใช้งาน Titan Security Key และพวกเขายังสามารถที่จะเข้าโจมตีได้ในระยะ30 เมตร จากตำแหน่งที่คุณอยู่ ซึ่งเหตุการณ์ทั้งหมดที่กล่าวมานี้ไม่น่าจะเกิดขึ้น แต่มันก็ยังถือว่าเป็นเรื่องที่ร้ายแรงพอที่จะทำให้ Googleต้องรีบดำเนินการ โดยการรับเปลี่ยนเครื่อง Key ที่ได้รับผลกระทบทั้งหมด แม้ว่าคนอื่นๆ จะไม่เชื่อในเรื่องนี้ ก็ตาม

Mark Miller ผู้อำนวยการฝ่ายสนับสนุนด้านความปลอดภัยระดับองค์กรของ Venafiตั้งข้อสังเกตว่าความผิดพลาดในการตั้งค่านี้ค่อนข้างง่ายต่อการนำไปหาประโยชน์ โดยเขาได้กล่าวว่า "ความจริงที่คุณจะต้องอยู่ภายในระยะ 30ฟุตของ Security Key นั้นไม่ใช่ปัญหา โดยเฉพาะเมื่อคุณเล็งเห็นว่าซอฟต์แวร์ที่อยู่ในรูปแบบของคอมไพล์ (Compiled) และสคริปต์ (Script) นั้นสามารถทำงานได้เร็วแค่ไหน นอกจากนี้ ผู้คนจำนวนมากก็ยังคงต้องมีการดำเนินธุรกิจในสถานที่สาธารณะ เช่น ร้านกาแฟและสนามบิน ดังนั้น การเลือกที่จะเชื่อมต่อ Dongleเข้ากับอุปกรณ์ของพวกเขา จึงไม่ใช่สิ่งที่ไกลเกินเอื้อม"

"จากมุมมองด้านเทคโนโลยี Key เหล่านี้ดูน่าทึ่งมาก ส่วนหนึ่งอาจเป็นเพราะว่าพวกเขาทำให้การรักษาความปลอดภัยกลายเป็นเรื่องที่ง่ายสำหรับผู้ใช้งาน"และเขายังได้กล่าวเสริมอีกด้วยว่า "ไม่มีอะไรในโลกนี้ที่สมบูรณ์แบบ เทคโนโลยีก็เช่นกัน อย่างไรก็ตามผมรู้สึกดีใจที่ Google เป็นฝ่ายริเริ่มและทำการเรียกคืน Key เหล่านี้"

เมื่อเร็วๆ นี้ ทาง Google ก็ได้ออกมาประกาศว่า ..

Titan Security Key ในรูปแบบใหม่ของพวกเขา ที่จะมีการเปิดใช้งานกับโทรศัพท์Android ทุกรุ่นที่ใช้ Android 7.0 หรือรุ่นที่ใหม่กว่านั้น พร้อมกับกลุ่มผลิตภัณฑ์Pixel ซึ่งเป็นสมาร์ทโฟนของพวกเขา ทั้งยังจะได้รับ Titan Security Key ในเวอร์ชั่นที่มีระบบการรักษาความปลอดภัยที่เพิ่มมากยิ่งขึ้น อีกด้วย

สำหรับสมาร์ทโฟนรุ่นดังกล่าวของพวกเขาGoogle มีมาตรฐานความปลอดภัยใหม่ที่เรียกว่า Phone-as-a-Security-Key (PaaSK) ซึ่งก็ได้มีการประกาศไปแล้วที่งานGoogle Cloud next 2019 และแทนที่จะมี Titan Security Key ให้แบบเสียบใช้จากภายนอก (External)แต่ทั้งหมดที่ผู้ใช้จะต้องทำก็คือ ปลดล็อคอุปกรณ์ Android ที่เชื่อมโยงกับบัญชี Google ของคุณ และกดปุ่มเพื่ออนุมัติการเข้าสู่ระบบแบบเรียลไทม์

เดิมทีนั้น Titan Security Key ถูกนำมาใช้เพื่อต่อสู้กับการโจมตีแบบPhishing ที่มีวิธีการตรวจสอบเพื่อยืนยันตัวตนแบบสองขั้นตอน 2SV (2-Step Verification) แต่ Googleก็ต้องพบกับปัญหาที่เกิดจากการใช้ประโยชน์ของช่องโหว่ ยกตัวอย่างเช่น รหัสยืนยันที่มีการส่งโดยข้อความ ซึ่งการสื่อสารด้วยวิธีนี้ผู้ที่ประสงค์ร้ายสามารถแย่งชิง (Hijack)รหัสดังกล่าว ได้อย่างง่ายดาย

สำหรับข่าวอื่นๆ ของ Google

พบว่ามีข้อบกพร่องด้านความเป็นส่วนตัว (Privacy Flaw) ในการตั้งค่าของGoogle Pay โดยพบว่าตัวเลือกการตั้งค่า (Optional Settings) เกี่ยวกับความสามารถของผู้ใช้ในการแชร์ข้อมูลในส่วนของความน่าเชื่อถือทางด้านการเงิน (Creditworthiness), ข้อมูลส่วนบุคคล (Personal information) หรือข้อมูลบัญชีผู้ใช้ Google Pay ของพวกเขาถูกซ่อนอยู่หลังSpecial URL และไม่ได้ผ่านการตั้งค่าที่หน้าบัญชีของ Google Pay โดยตรงซึ่งทางGoogleก็ได้ออกมาระบุถึงข้อผิดพลาดในครั้งนี้ว่า ข้อผิดพลาดดังกล่าวเป็นผลอันเนื่องมาจากการตกหล่นของการอัพเดต และขณะนี้ก็ได้รับการแก้ไขเป็นที่เรียบร้อยแล้ว เพื่อให้การตั้งค่าความเป็นส่วนตัวที่กล่าวมาข้างต้นปรากฏให้เห็นเป็นปกติ