一項新的研究發(fā)現(xiàn),希望入侵用戶設備并竊取個人數(shù)據(jù)的黑客可能將Google的物理安全密鑰作為攻擊目標��。
安全專家發(fā)現(xiàn)了一個漏洞�����,該漏洞會影響Google Titan和YubiKey硬件安全密鑰中包含的硬件���,這些漏洞已在尋求這種額外級別保護的用戶中流行。
該缺陷看起來似乎暴露了用于保護設備的加密密鑰���,使其不安全并且容易受到來自外部來源的攻擊��。
已解鎖
研究結(jié)果來自位于蒙彼利埃的NinjaLab的研究人員Victor Lomne和Thomas Roche��,他們檢查了所有版本的Google Titan安全密鑰���,Yubico Yubikey Neo和幾種Feitian FIDO設備(Feitian FIDO NFC USB-A / K9�����,F(xiàn)eitian MultiPass FIDO / K13��,飛天ePass FIDO USB-C / K21和飛天FIDO NFC USB-C / K40)
二人組發(fā)現(xiàn)了一個漏洞�����,該漏洞可能使黑客能夠恢復密鑰設備使用的主要加密密鑰���,從而生成用于兩因素身份驗證(2FA)操作的加密令牌。
這可能會使威脅參與者克隆特定的Titan�����,YubiKey和其他密鑰��,這意味著黑客可以繞過旨在為用戶提供額外保護級別的2FA程序。
但是�����,為了使攻擊起作用�,黑客將需要實際掌握安全密鑰設備,因為它無法通過Internet進行工作����。這可能意味著任何丟失或被盜的設備可以暫時使用并克隆,然后再返回受害者手中�����。
但是�,一旦完成,攻擊者便可以克隆用于保護Google或Yubico設備的加密密鑰���,從而允許他們訪問�。
研究人員還指出�,這些鑰匙本身提供了強大的防護能力,可以抵御攻擊���,為抵御熱量和壓力提供了強有力的抵抗力����,以抵制手工闖入的企圖����。
這意味著�,如果攻擊者能夠從辦公室或工廠竊取密鑰,那么他們將很難以與開始時相同的條件歸還密鑰�。
當ZDNet與Google聯(lián)絡時,Google強調(diào)了這一事實����,并指出在“正常情況”下很難進行這種攻擊。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
