Notebookcheck Logo

无法修补的 Yubico 双因素身份验证密钥漏洞破坏了大多数 Yubikey 5、Security Key 和 YubiHSM 2FA 设备的安全性

无法修补的 Yubico 双因素身份验证密钥漏洞破坏了大多数 Yubikey 5、Security Key 和 YubiHSM 2FA 设备的安全性。(图片来源:Yubico)
无法修补的 Yubico 双因素身份验证密钥漏洞破坏了大多数 Yubikey 5、Security Key 和 YubiHSM 2FA 设备的安全性。(图片来源:Yubico)
一个无法修补的 Yubico 双因素身份验证密钥漏洞破坏了大多数 Yubikey 5、Security Key 和 YubiHSM 2FA 设备的安全性。飞天 A22 JavaCard 也存在漏洞。存在漏洞的 2FA 密钥应尽快更换,尤其是用于保护网络货币或绝密信息时。
Security Business Fail Accessory

一个无法修补的 Yubico 双因素身份验证密钥漏洞破坏了大多数 Yubikey 5、Security Key 和 YubiHSM 2FA 设备的安全性。飞天 A22 JavaCard 和其他使用英飞凌 SLB96xx 系列 TPM 的设备也存在漏洞。所有易受攻击的 2FA 密钥都应视为已损坏,并尽快更换为非易受攻击的密钥。

双因素 (2FA) 安全验证除了使用密码外,还使用软件应用程序(如 Microsoft Authenticator)或硬件密钥(如 Yubikey)生成的唯一代码来登录在线账户。越来越多的账户提供商(如银行)都采用了双因素验证安全技术,以减少数据和资金被盗。

双因素验证密钥依赖于使用难以逆向工程的方法生成唯一的代码。现代 2FA 应用程序和密钥通常使用更复杂的数学方法,如椭圆曲线算法 (深入研究 IBM 网站上的数学知识)。).

侧信道攻击通过监控电子设备的各个方面来制造攻击。对于 Yubico、Feitian 和其他 2FA 密钥中使用的易受攻击的英飞凌 TPM 芯片,Ninjalabs 的研究人员花了两年时间捕捉和破译芯片的无线电发射,以制造攻击。

黑客最多需要一个小时的时间来捕捉无线电发射,然后用一两天的时间来破译数据并创建 2FA 密钥的副本。其中的数学和技术相当复杂,因此有密码学、数学和电子学知识的读者可以在NinjaLab 的文章中阅读这些复杂的方法。.NinjaLab此前也揭露过类似的漏洞其他 Google Titan、Feitian、Yubico 和 NXP 密钥中也存在类似漏洞。

Yubico 2FA 密钥用户应查阅Yubico 安全公告查看他们的密钥是否存在漏洞。其他设备的用户需要向制造商询问设备是否使用了易受攻击的英飞凌 SLB96xx 系列 TPM。受影响的设备无法通过修补程序来修复安全漏洞。

所有受影响的密钥所有者在确认替代品不存在漏洞后,应强烈考虑改用替代品。替代 2FA 密钥包括FeitianiShield

所列设备易受安全漏洞影响,用户应考虑更换。(图片来源:Yubico)
所列设备易受安全漏洞影响,用户应考虑更换。(图片来源:Yubico)
Ninjalabs 使用探针测量易受攻击芯片的无线电发射,从而开发出一种攻击手段。(图片来源:Ninjalabs)
Ninjalabs 使用探针测量易受攻击芯片的无线电发射,从而开发出一种攻击手段。(图片来源:Ninjalabs)
Ninjalabs 用来查找漏洞的电子信号捕获示例。(图片来源:Ninjalabs)
Ninjalabs 用来查找漏洞的电子信号捕获示例。(图片来源:Ninjalabs)
Please share our article, every link counts!
> Notebookcheck中文版(NBC中国) > 新闻 > 新闻档案 > 新闻档案 2024 09 > 无法修补的 Yubico 双因素身份验证密钥漏洞破坏了大多数 Yubikey 5、Security Key 和 YubiHSM 2FA 设备的安全性
David Chien, 2024-09- 4 (Update: 2024-09- 4)