Googles Sicherheitsforscher zählen zu den besten der Welt und suchen regelmäßig nach Lücken in eigener und fremder Software. Dabei hat das Unternehmen allerdings sehr strenge Anforderungen, wenn es um die Behebung gefundener Lücken geht. Je nach Schweregrad der Lücke gibt man Unternehmen oftmals nur 7 Tage Zeit, bevor man an die Öffentlichkeit geht und Raum für Verhandlungen lässt man nicht.
Google Cloud-Kunden in den USA, die einen Hardware-Schlüssel für die Zwei-Faktor-Authentifizierung nutzen, sollten die aktuelle Rückruf-Aktion von Google in Anspruch nehmen. Microsoft hat nämlich eine Sicherheitslücke in den Google Titan Sicherheitsschlüsseln gefunden, welche den sofortigen Rückruf notwendig machen. Die Versionen T1 und T2 der Schlüssel weisen dabei einen Fehler bei der Konfiguration der Pairing-Protokolle auf, worüber Angreifer in der Nähe den Schlüssel ebenfalls hätten verwenden können. So hätten Angreifer bei der Bestätigung der Authentifizierung das Signal auf das eigene Gerät abfangen und aus einer Distanz von bis zu 10 Metern die Authentifizierung durchführen können. Andererseits hätten Geräte von Angreifern auch vorgeben können, der Titan Sicherheitsschlüssel zu sein, um auf diese Weise Informationen vom Gerät selbst abrufen zu können oder im schlimmsten Fall sogar die Kontrolle über das Gerät zu übernehmen.
Google empfiehlt, die Titan-Sicherheitsschlüssel nur noch an „privaten Orten“ einzusetzen bevor diese nicht durch die Rückruf-Aktion ersetzt wurden. Google ist sich dennoch sicher, dass die Sicherheitsschlüssel eine gute Methode zur sicheren Zwei-Faktor-Authentifizierung sind.
