Source: The Verge
安全研究人员发现了YubiKey双因素认证令牌中的一个漏洞,允许攻击者克隆设备。该漏洞是在Infineon密码库中发现的,该密码库被大多数YubiKey产品使用,包括YubiKey 5、Yubikey Bio、Security Key和YubiHSM 2系列设备。YubiKey制造商Yubico表示,这个侧信道漏洞的严重性是“中等”,但难以利用,部分原因是双因素系统依赖于用户所持有的东西和只有他们应该知道的东西。
攻击者需要实际占有YubiKey、Security Key或YubiHSM、他们想要攻击的帐户的知识以及执行必要攻击所需的专用设备。根据用例的不同,攻击者还可能需要额外的知识,包括用户名、PIN码、帐户密码或认证密钥。但这些对于高度激励的个人或国家赞助的攻击者未必构成威慑。
由于YubiKey固件无法更新,所有YubiKey 5设备在5.7版之前(Bio系列为5.7.2,YubiHSM 2为2.4.0)将永远存在漏洞。后续型号不受影响,因为它们不再使用Infineon的密码库。
发现这个漏洞的安全公司NinjaLab估计,该漏洞存在于Infineon顶级安全芯片中已有14年之久。研究人员认为,使用Infineon密码库或Infineon的SLE78、Optiga Trust M和Optiga TPM微控制器的其他设备也面临风险。
安全性永远是一个永恒的话题,技术的不断发展也意味着安全隐患的不断出现,我们需要对新科技保持警惕与谨慎。
特别声明:本文及配图均为用户上传或者转载,本文仅代表作者个人观点和立场,不代表平台观点。其原创性以及文中陈述文字和内容未经本站证实,
对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本平台不作任何保证或承诺,请读者仅作参考,
并请自行核实相关内容。如发现稿件侵权,或作者不愿在本平台发布文章,请版权拥有者通知本平台处理。
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios)
posted above belong to the User who shared or the third-party website which the User shared from.
If you found your copyright have been infringed, please send a DMCA takedown notice to
info@microheadline.com
来源:https://www.theverge.com/2024/9/4/24235635/yubikey-unfixable-security-vulnerability-side-channel-explot
https://it.slashdot.org/story/24/09/03/1810216/yubikeys-are-vulnerable-to-cloning-attacks-thanks-to-newly-discovered-side-channel
https://www.reddit.com/r/yubikey/comments/n3fygs/security_risks_to_nfc_based_yubikeys/
