行业新闻与博客

Yubikeys 是最广泛使用的双因素身份验证 (2FA) 硬件工具之一，其某些版本容易受到旁道攻击。

安全专家兼 NinjaLab 联合创始人 Thomas Roche 发现 YubiKey 5 系列设备存在加密漏洞，当攻击者获得对这些设备的临时物理访问权限时，这些设备很容易被克隆。

虽然该漏洞无法修复，但利用起来也非常困难。

了解如何使用 Yubikey

Yubikey 是 Yubico 开发的基于 USB 的物理安全设备，可在登录在线账户时增加一层额外的保护。它们通常用于2FA，除了密码外，还需要物理设备才能访问您的账户。

许多安全专家认为 Yubikeys 是多因素身份验证 (MFA) 最安全的硬件选项之一，尤其是因为它们通常支持快速身份在线 2 (FIDO2) 标准。

FIDO2 身份验证由 FIDO 联盟和万维网联盟（W3C）联合开发，基于公钥加密，比基于密码的身份验证更安全，对网络钓鱼和其他攻击的抵抗力更强。

14 年来未被发现的侧信道漏洞

在执行一种被他称为 EUCLEAK 的旁道攻击时，Roche 发现了许多 YubiKey 产品使用的加密库中存在一个漏洞，这个漏洞允许他克隆这些设备。

旁信道攻击是一种利用设备或系统的物理特性来提取敏感信息的入侵行为。

研究人员指出，侧信道漏洞是最大的安全元件制造商之一英飞凌科技提供的一个加密库中的缺陷，14 年来一直未被发现，并且经过了约 80 次最高级别的通用标准认证评估。

研究人员在发表其实验结果之前联系了 Yubico。

受影响的 Yubikey 设备

Yubico 在一份公开咨询中承认了该漏洞，并指出受影响的设备包括：

• YubiKey 5 系列 5.7 版之前版本
• YubiKey 5 FIPS 系列 5.7 版之前版本
• YubiKey 5 CSPN 系列 5.7 版之前版本
• YubiKey Bio 系列 5.7.2 版之前版本
• 5.7 版之前的安全密钥系列
• YubiHSM 2 2.4.0 之前版本
• YubiHSM 2 FIPS 2.4.0 版本之前

较新的版本不受影响。

复杂的 Yubikey 漏洞利用场景

该主要制造商表示，该漏洞的严重程度为“中等”。

部分原因是该攻击相对难以利用。Roche 使用了价值 11,000 欧元的材料进行 EUCLEAK 攻击，并且能够物理访问该设备 - 这两个标准可能会让人望而却步。

Roche 提供了一个可以成功利用 Yubikey 漏洞的典型攻击场景：

1. 攻击者窃取受 FIDO 保护的受害者应用程序帐户的登录名和密码（例如通过网络钓鱼攻击）
2. 攻击者在有限的时间内对受害者的设备进行物理访问，而受害者却毫不知情
3. 由于窃取了受害者的登录名和密码（针对给定的应用程序帐户），攻击者可以在执行侧信道测量的同时，根据需要多次向设备发送身份验证请求
4. 攻击者悄悄地将 FIDO 设备归还给受害者
5. 攻击者对测量结果进行旁道攻击，成功提取与受害者应用程序账户关联的椭圆曲线数字签名算法 (ECDSA) 私钥
6. 攻击者可以在受害者没有注意到 FIDO 设备或受害者的情况下登录受害者的应用程序帐户。换句话说，攻击者为受害者的应用程序帐户创建了 FIDO 设备的克隆。只要合法用户不撤销其身份验证凭据，此克隆就会授予对应用程序帐户的访问权限。