VN



VN
BigGo MagVề BigGoNghề nghiệpLiên hệ với chúng tôiUser TermsTrung tâm hỗ trợ
© 2024 BigGo
Cài đặt
Công cụ hỗ trợ mua sắm BigGo
Tin tức
Công nghệ
Bảo mật

Lỗ hổng YubiKey 5: Có thể sao chép, nhưng chuyên gia cho rằng rủi ro vẫn thấp

BigGo Editorial Team
Lỗ hổng YubiKey 5: Có thể sao chép, nhưng chuyên gia cho rằng rủi ro vẫn thấp

Các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng trong một số mẫu YubiKey 5 cho phép sao chép về mặt lý thuyết, nhưng các chuyên gia cho rằng rủi ro thực tế vẫn thấp đối với hầu hết người dùng.

Ảnh cận cảnh của khóa bảo mật YubiKey 5C, minh họa phần cứng bị ảnh hưởng bởi lỗ hổng bảo mật mới được phát hiện
Ảnh cận cảnh của khóa bảo mật YubiKey 5C, minh họa phần cứng bị ảnh hưởng bởi lỗ hổng bảo mật mới được phát hiện

Lỗ hổng

Các nhà nghiên cứu tại NinjaLab đã xác định một cuộc tấn công kênh bên khai thác lỗ mã hóa trong bộ vi điều khiển Infineon SLE78 được sử dụng trong các thiết bị YubiKey 5. Lỗ hổng này có khả năng ảnh hưởng đến hàng triệu người dùng đang sử dụng các khóa này để xác thực đa yếu tố nhằm bảo mật các tài khoản nhạy cảm.

Các thiết bị bị ảnh hưởng

Các sản phẩm YubiKey sau đây với phiên bản firmware trước 5.7 bị ảnh hưởng:

  • Dòng YubiKey 5
  • Dòng YubiKey 5 FIPS
  • Dòng YubiKey 5 CSPN
  • Dòng YubiKey Bio (trước 5.7.2)
  • Dòng Security Key
  • YubiHSM 2 (trước 2.4.0)

Cuộc tấn công: Phức tạp và tốn nhiều tài nguyên

Mặc dù lỗ hổng đáng lo ngại, việc khai thác nó đòi hỏi:

  1. Sở hữu vật lý YubiKey
  2. Thiết bị chuyên dụng (máy hiện sóng)
  3. Kiến thức kỹ thuật cao cấp
  4. Thời gian và nguồn lực đáng kể

NinjaLab ước tính chi phí của thiết bị cần thiết khoảng 10.000 USD, với các thiết lập cao cấp có thể lên tới 40.000 USD.

Phản hồi của Yubico

Yubico đã thừa nhận lỗ hổng và phát hành firmware cập nhật (phiên bản 5.7 trở lên) để khắc phục vấn đề. Tuy nhiên, do tính chất chống giả mạo của các khóa, các thiết bị hiện có không thể được vá lỗi.

Bạn có nên lo lắng không?

Mặc dù có lỗ hổng, các chuyên gia bảo mật nhấn mạnh rằng việc sử dụng YubiKey vẫn cung cấp bảo vệ mạnh mẽ hơn đáng kể so với chỉ dựa vào mật khẩu. Tính chất phức tạp của cuộc tấn công khiến nó khó có thể trở thành mối đe dọa phổ biến đối với hầu hết người dùng.

Người dùng nên làm gì

  1. Kiểm tra phiên bản YubiKey của bạn bằng ứng dụng Yubico Authenticator
  2. Nếu đang sử dụng mẫu bị ảnh hưởng, hãy cân nhắc nâng cấp lên phiên bản mới hơn cho các ứng dụng quan trọng
  3. Tiếp tục sử dụng YubiKey của bạn, vì nó vẫn cung cấp bảo vệ mạnh mẽ chống lại các vector tấn công phổ biến

Ý nghĩa rộng lớn hơn

Lỗ hổng được phát hiện có thể mở rộng ra ngoài YubiKeys đến các thiết bị khác sử dụng bộ vi điều khiển Infineon SLE78, bao gồm hộ chiếu điện tử và ví phần cứng tiền điện tử. Nghiên cứu thêm đang được tiến hành để xác định phạm vi đầy đủ của vấn đề.

Mặc dù lỗ hổng YubiKey 5 là một lời nhắc nhở rằng không có giải pháp bảo mật nào là hoàn hảo, nó cũng nhấn mạnh tầm quan trọng của nghiên cứu bảo mật liên tục và giá trị của xác thực dựa trên phần cứng trong việc tạo ra các lớp phòng thủ mạnh mẽ.

Tin tức liên quan
DJI thách thức GoPro với Osmo Action 5 Pro: Pin 4 giờ và tính năng chuyên nghiệp
5 giờ trước
PlayStation 5 Pro đồn đoán ra mắt năm 2024, có thể có giá 600 đô la
3 tuần trước
Dòng iPhone 16: Chip A18 cho tất cả, nhưng các mẫu Pro có thể vẫn dẫn đầu
1 tháng trước
Doanh số PlayStation 5 giảm, nhưng bộ phận trò chơi của Sony vẫn tăng trưởng
1 tháng trước
Kết quả benchmark của Intel Core Ultra 5 228V cho thấy hiệu năng đáng ngạc nhiên cho chip tiêu thụ điện năng thấp
1 tháng trước