在 9 月 3 日的新闻中,安全专家对研究人员发现 YubiKey 5 身份验证设备的安全漏洞表示关注,称该设备受到侧信道攻击的影响而可以被克隆。专家指出,尽管执行此类攻击需要高度专业的技术,但考虑到 YubiKey 的用户数量庞大,问题相当严重。
根据 YubiKey 的数据,该公司已在 160 个国家售出超过 2200 万个设备。亚马逊、Facebook、谷歌、微软和 Twitter 等顶尖科技公司每天都在使用 YubiKey 来保护员工的账户安全。
NinjaLabs 的研究员托马斯罗什在一篇博客文章中指出,所有固件版本在 57 之前的 YubiKey 5 系列设备均受到“Eucleak”脆弱性的影响,这也包括运行在受影响的 YubiKey 设备上的 Infineon 密码库的 Infineon 微控制器。
罗什报告称,负责披露此漏洞的工作始于 4 月 19 日,而 Infineon 在 7 月 26 日确认已对其密码库实施并测试了补丁,消除了攻击威胁。该脆弱性长达 14 年未被发现。
YubiKey 也在9 月 3 日发布了声明,将该问题描述为 Infineon 密码库中椭圆曲线数字签名算法ECDSA实现的侧信道脆弱性。YubiKey 表示 ECDSA 用于基于椭圆曲线生成密码签名。
根据 YubiKey 的说法,复杂的攻击者可以利用侧信道脆弱性来恢复 ECDSA 私钥。攻击者需要物理获取设备,并使用专业设备如示波器观察有漏洞的操作。此外,攻击者可能还需要额外的信息,如账户名、账户密码、设备 PIN 或 YubiHSM 身份验证密钥。
总体来说,该攻击需要约 11000 美元的设备和高水平的电气与密码学工程知识。
Critical Start 的威胁研究高级经理卡莉根瑟表示,Eucleak 脆弱性是一种稀有且高复杂度的攻击,可能与国家支持的行为者、内部人士或针对高价值资产的高级犯罪团体有关。根瑟SC Media 的专栏作家指出,该攻击需要物理访问、专业设备和对目标账户的深入了解,这表明它可能用于高度针对性的行动,比如间谍活动或秘密访问,而非机会主义攻击。
白鲸加速器下载“情报团队通常不会监测此类侧信道威胁,因为其可能性很低且复杂,”根瑟表示。“然而,潜在后果的严重性例如密钥克隆意味着这个攻击类别不应该被忽视,尤其是在关键数据或敏感操作面临风险的环境中。这提醒我们,甚至在概率较低的攻击如果成功实施也可能造成巨大的损失。”
Sectigo 的产品高级副总裁杰森索罗科表示,这种侧信道攻击对于用户构成显著风险,尤其是针对像 YubiKey 这样的硬件基于密码学的实现。索罗科指出,这些攻击利用物理属性,如在密码学过程中发出的电磁辐射,以推断敏感数据如私钥。
“在 Eucleak 的案例中,尽管攻击复杂且需要对设备的物理访问,但 YubiKey 安全密钥被克隆的潜力令人担忧,因为这种硬件在身份验证
全天候技术支持,白鲸加速器提供24小时在线客服,快速响应用户的疑问和问题,确保使用过程无忧。
