Fysieke beveiligingssleutels moeten gebruikers extra bescherming bieden tijdens het inloggen op hun accounts, maar een misconfiguratie in het pairing-protocol van bluetooth-beveiligingssleutels maakt gebruikers juist kwetsbaar voor aanvallen.

Door deze kwetsbaarheid kan een aanvaller in de buurt van een gebruiker met diens sleutel communiceren of communiceren met het apparaat waarmee de sleutel is gepaird. De aanvaller zou moeten toeslaan op het moment dat de gebruiker zijn sleutel met een apparaat pairt of wanneer hij op een account wil inloggen.

Vorige maand besloot Google vanwege dit probleem de eigen Titan-beveiligingssleutels terug te roepen. Volgens Google raakt de kwetsbaarheid niet de primaire functie van de beveiligingssleutel, namelijk het beschermen tegen phishing. Gebruikers kregen dan ook het advies om hun Titan-beveiligingssleutel te blijven gebruiken terwijl het vervangende exemplaar onderweg is.

Sinds gisteren heeft Microsoft besloten om het pairen van kwetsbare bluetooth-beveiligingssleutels op Windows te blokkeren. Het gaat niet alleen om de Titan-sleutel van Google, maar ook om de Feitian Multipass. Net als Google biedt ook Feitian gebruikers een vervangend exemplaar aan.