Các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng trong một số mẫu YubiKey 5 cho phép sao chép về mặt lý thuyết, nhưng các chuyên gia cho rằng rủi ro thực tế vẫn thấp đối với hầu hết người dùng.
Ảnh cận cảnh của khóa bảo mật YubiKey 5C, minh họa phần cứng bị ảnh hưởng bởi lỗ hổng bảo mật mới được phát hiện |
Lỗ hổng
Các nhà nghiên cứu tại NinjaLab đã xác định một cuộc tấn công kênh bên khai thác lỗ mã hóa trong bộ vi điều khiển Infineon SLE78 được sử dụng trong các thiết bị YubiKey 5. Lỗ hổng này có khả năng ảnh hưởng đến hàng triệu người dùng đang sử dụng các khóa này để xác thực đa yếu tố nhằm bảo mật các tài khoản nhạy cảm.
Các thiết bị bị ảnh hưởng
Các sản phẩm YubiKey sau đây với phiên bản firmware trước 5.7 bị ảnh hưởng:
- Dòng YubiKey 5
- Dòng YubiKey 5 FIPS
- Dòng YubiKey 5 CSPN
- Dòng YubiKey Bio (trước 5.7.2)
- Dòng Security Key
- YubiHSM 2 (trước 2.4.0)
Cuộc tấn công: Phức tạp và tốn nhiều tài nguyên
Mặc dù lỗ hổng đáng lo ngại, việc khai thác nó đòi hỏi:
- Sở hữu vật lý YubiKey
- Thiết bị chuyên dụng (máy hiện sóng)
- Kiến thức kỹ thuật cao cấp
- Thời gian và nguồn lực đáng kể
NinjaLab ước tính chi phí của thiết bị cần thiết khoảng 10.000 USD, với các thiết lập cao cấp có thể lên tới 40.000 USD.
Phản hồi của Yubico
Yubico đã thừa nhận lỗ hổng và phát hành firmware cập nhật (phiên bản 5.7 trở lên) để khắc phục vấn đề. Tuy nhiên, do tính chất chống giả mạo của các khóa, các thiết bị hiện có không thể được vá lỗi.
Bạn có nên lo lắng không?
Mặc dù có lỗ hổng, các chuyên gia bảo mật nhấn mạnh rằng việc sử dụng YubiKey vẫn cung cấp bảo vệ mạnh mẽ hơn đáng kể so với chỉ dựa vào mật khẩu. Tính chất phức tạp của cuộc tấn công khiến nó khó có thể trở thành mối đe dọa phổ biến đối với hầu hết người dùng.
Người dùng nên làm gì
- Kiểm tra phiên bản YubiKey của bạn bằng ứng dụng Yubico Authenticator
- Nếu đang sử dụng mẫu bị ảnh hưởng, hãy cân nhắc nâng cấp lên phiên bản mới hơn cho các ứng dụng quan trọng
- Tiếp tục sử dụng YubiKey của bạn, vì nó vẫn cung cấp bảo vệ mạnh mẽ chống lại các vector tấn công phổ biến
Ý nghĩa rộng lớn hơn
Lỗ hổng được phát hiện có thể mở rộng ra ngoài YubiKeys đến các thiết bị khác sử dụng bộ vi điều khiển Infineon SLE78, bao gồm hộ chiếu điện tử và ví phần cứng tiền điện tử. Nghiên cứu thêm đang được tiến hành để xác định phạm vi đầy đủ của vấn đề.
Mặc dù lỗ hổng YubiKey 5 là một lời nhắc nhở rằng không có giải pháp bảo mật nào là hoàn hảo, nó cũng nhấn mạnh tầm quan trọng của nghiên cứu bảo mật liên tục và giá trị của xác thực dựa trên phần cứng trong việc tạo ra các lớp phòng thủ mạnh mẽ.