กูเกิลออกประกาศแจ้งเตือนกุญแจ Titan Security Key ที่เปิดตัวไปเมื่อปีที่แล้ว ว่าการคอนฟิกเฟิร์มแวร์ผิดพลาดทำให้แฮกเกอร์สามารถดักรับข้อความยืนยันการล็อกอินได้, หรือระหว่างการ pair ระหว่างอุปกรณ์ (โทรศัพท์, โน้ตบุ๊ก) กับตัวกุญแจ แฮกเกอร์สามารถสร้างอุปกรณ์มาปลอมเป็นกุญแจเพื่อเข้าควบคุมเครื่องภายหลังได้
คนโจมตีต้องอยู่ในระยะสัญญาณ Bluetooth เพื่อโจมตีช่องโหว่นี้ โดยมีระยะประมาณ 10 เมตร และการล็อกอินด้วย USB และ NFC ไม่มีผลใดๆ โดยการใช้ล็อกอินสองขั้นตอนต้องใช้รหัสผ่านร่วมด้วย การใช้กุญแจยังคงลดความเสี่ยงจากการถูกหลอกให้เข้าเว็บปลอม (phishing) และลดความเสี่ยงในกรณีรหัสผ่านหลุด
กุญแจรุ่น T1 และ T2 ได้รับผลกระทบช่องโหว่นี้ (ดูภาพเวอร์ชั่นท้ายข่าว) นอกจากนี้ผู้ที่ซื้อจาก Feitian ผู้ผลิตตัวกุญแจโดยตรงก็ได้รับผลกระทบในรุ่น 1, 2, 3 เช่นกัน สำหรับผู้ใช้ในสหรัฐฯ กูเกิลจะส่งกุญแจใหม่มาเปลี่ยนให้ แต่สำหรับผู้ใช้นอกสหรัฐฯ ต้องกรอกแบบฟอร์มอีกทีเพื่อรอฟังผลว่ากูเกิลจะส่งให้ได้หรือไม่
ที่มา - Google Security Blog