Microsoft blockiert seitdem Release des Windows 10 1903 Updates unsichere Bluetooth-Hardware, die bekannte Passwörter für die Verschlüsselung der kabellosen Verbindung nutzt. Laut einem Eintrag im Microsoft Unternehmensblog wird das Pairing unteranderem auch bei den Fido-Sticks von Google (Titan) und Feitian blockiert, die zur Zwei-Faktor-Authentifizierung genutzt werden.
Aufgrund einer Sicherheitslücke, die durch eine falsche Konfiguration im Bluetooth-Pairing-Protokoll verursacht wird, ist es möglich das Angreifer die Kontrolle über Bluetooth-Fido-Sticks erlangen. Dies ermöglicht auch, dass Computer, die mit den angreifbaren Fido-Sticks verbunden sind, angegriffen werden können.
Um die Sicherheitslücke auszunutzen, müssen Angreifer den Augenblick abpassen, in dem der Besitzer eines Fido-Sticks aufgefordert wird per Tastendruck die Anmeldung durchzuführen. Sollte im selben Moment ein Angreifer bei einen eigenes Titan- oder Feitian-Stick den Anmeldebutton betätigen, kann er so die Bluetooth-Verbindung des Nutzers kapern. Es ist so möglich Eingaben auf dem Computer auszuführen, in dem das nun verbundenen Gerät sich als Maus oder Tastatur ausgibt.
In einem Sicherheitshinweis, in dem auf die Sicherheitslücke CVE-2019-2102 verwiesen wird, erklärt Microsoft, dass aus diesem Grund die Bluetooth-Low-Energy-Schlüssel (BLE) vorerst blockiert werden. Das Unternehmen rät betroffenen Besitzern Kontakt zum Hersteller der Hardware aufzunehmen, um dort ein Firmwareupdate für die Sticks zu erhalten.
Sowohl Google als auch Feitian haben inzwischen Austauschprogramme für die Fido-Sticks gestartet. Die betroffenen Google-Sticks haben auf der Rückseite unten den Schriftzug „T1“ oder „T2“, bei den Feitian-Sticks zeigen die Zahlen 1 bis 3, dass es sich um einen Stick mit der Sicherheitslücke handelt.
