即使是谷歌最强大的安全工具也无法防范此漏洞|天天短讯
(相关资料图)
一项新的研究发现,希望入侵用户设备并窃取个人数据的黑客可能将Google的物理安全密钥作为攻击目标。安全专家发现了一个漏洞,该漏洞会影响Google Titan和YubiKey硬件安全密钥中包含的硬件,这些漏洞已在寻求这种额外级别保护的用户中流行。
该缺陷看起来似乎暴露了用于保护设备的加密密钥,使其不安全并且容易受到来自外部来源的攻击。
研究结果来自位于蒙彼利埃的NinjaLab的研究人员Victor Lomne和Thomas Roche,他们检查了所有版本的Google Titan安全密钥,Yubico Yubikey Neo和几种Feitian FIDO设备(Feitian FIDO NFC USB-A / K9,Feitian MultiPass FIDO / K13,飞天ePass FIDO USB-C / K21和飞天FIDO NFC USB-C / K40)
二人组发现了一个漏洞,该漏洞可能使黑客能够恢复密钥设备使用的主要加密密钥,从而生成用于两因素身份验证(2FA)操作的加密令牌。
这可能会使威胁参与者克隆特定的Titan,YubiKey和其他密钥,这意味着黑客可以绕过旨在为用户提供额外保护级别的2FA程序。
但是,为了使攻击起作用,黑客将需要实际掌握安全密钥设备,因为它无法通过Internet进行工作。这可能意味着任何丢失或被盗的设备可以暂时使用并克隆,然后再返回受害者手中。
但是,一旦完成,攻击者便可以克隆用于保护Google或Yubico设备的加密密钥,从而允许他们访问。
研究人员还指出,这些钥匙本身提供了强大的防护能力,可以抵御攻击,为抵御热量和压力提供了强有力的抵抗力,以抵制手工闯入的企图。
这意味着,如果攻击者能够从办公室或工厂窃取密钥,那么他们将很难以与开始时相同的条件归还密钥。
当ZDNet与Google联络时,Google强调了这一事实,并指出在“正常情况”下很难进行这种攻击。
关键词: