行業新聞與部落格

Yubikeys 是最廣泛使用的雙因素身份驗證 (2FA) 硬體工具之一，其某些版本容易受到旁道攻擊。

安全專家兼 NinjaLab 聯合創始人 Thomas Roche 發現 YubiKey 5 系列裝置存在加密漏洞，當攻擊者獲得對這些裝置的臨時物理訪問許可權時，這些裝置很容易被克隆。

雖然該漏洞無法修復，但利用起來也非常困難。

瞭解如何使用 Yubikey

Yubikey 是 Yubico 開發的基於 USB 的物理安全裝置，可在登入線上賬戶時增加一層額外的保護。它們通常用於2FA，除了密碼外，還需要物理裝置才能訪問您的賬戶。

許多安全專家認為 Yubikeys 是多因素身份驗證 (MFA) 最安全的硬體選項之一，尤其是因為它們通常支援快速身份線上 2 (FIDO2) 標準。

FIDO2 身份驗證由 FIDO 聯盟和全球資訊網聯盟（W3C）聯合開發，基於公鑰加密，比基於密碼的身份驗證更安全，對網路釣魚和其他攻擊的抵抗力更強。

14 年來未被發現的側通道漏洞

在執行一種被他稱為 EUCLEAK 的旁道攻擊時，Roche 發現了許多 YubiKey 產品使用的加密庫中存在一個漏洞，這個漏洞允許他克隆這些裝置。

旁通道攻擊是一種利用裝置或系統的物理特性來提取敏感資訊的入侵行為。

研究人員指出，側通道漏洞是最大的安全元件製造商之一英飛凌科技提供的一個加密庫中的缺陷，14 年來一直未被發現，並且經過了約 80 次最高級別的通用標準認證評估。

研究人員在發表其實驗結果之前聯絡了 Yubico。

受影響的 Yubikey 裝置

Yubico 在一份公開諮詢中承認了該漏洞，並指出受影響的裝置包括：

• YubiKey 5 系列 5.7 版之前版本
• YubiKey 5 FIPS 系列 5.7 版之前版本
• YubiKey 5 CSPN 系列 5.7 版之前版本
• YubiKey Bio 系列 5.7.2 版之前版本
• 5.7 版之前的安全金鑰系列
• YubiHSM 2 2.4.0 之前版本
• YubiHSM 2 FIPS 2.4.0 版本之前

較新的版本不受影響。

複雜的 Yubikey 漏洞利用場景

該主要製造商表示，該漏洞的嚴重程度為“中等”。

部分原因是該攻擊相對難以利用。Roche 使用了價值 11,000 歐元的材料進行 EUCLEAK 攻擊，並且能夠物理訪問該裝置 - 這兩個標準可能會讓人望而卻步。

Roche 提供了一個可以成功利用 Yubikey 漏洞的典型攻擊場景：

1. 攻擊者竊取受 FIDO 保護的受害者應用程式帳戶的登入名和密碼（例如透過網路釣魚攻擊）
2. 攻擊者在有限的時間內對受害者的裝置進行物理訪問，而受害者卻毫不知情
3. 由於竊取了受害者的登入名和密碼（針對給定的應用程式帳戶），攻擊者可以在執行側通道測量的同時，根據需要多次向裝置傳送身份驗證請求
4. 攻擊者悄悄地將 FIDO 裝置歸還給受害者
5. 攻擊者對測量結果進行旁道攻擊，成功提取與受害者應用程式賬戶關聯的橢圓曲線數位簽章演算法 (ECDSA) 金鑰
6. 攻擊者可以在受害者沒有注意到 FIDO 裝置或受害者的情況下登入受害者的應用程式帳戶。換句話說，攻擊者為受害者的應用程式帳戶建立了 FIDO 裝置的克隆。只要合法使用者不撤銷其身份驗證憑據，此克隆就會授予對應用程式帳戶的訪問許可權。