即使是谷歌最强大的安全工具也无法阻止这个漏洞

寿莲家
导读 一项新的研究发现,想要入侵用户设备并窃取个人数据的黑客可能会以谷歌的物理安全密钥为目标。安全专家发现了一个漏洞,该漏洞会影响谷歌Ti

一项新的研究发现,想要入侵用户设备并窃取个人数据的黑客可能会以谷歌的物理安全密钥为目标。安全专家发现了一个漏洞,该漏洞会影响谷歌Titan和YubiKey硬件安全密钥中包含的硬件。这些漏洞在寻求这种额外保护级别的用户中变得很流行。

该缺陷似乎暴露了用于保护设备的加密密钥,使其不安全,容易受到外部来源的攻击。

这项研究结果来自蒙彼利埃NinjaLab的研究人员Victor Lomne和Thomas Roche。他们检查了所有版本的谷歌Titan安全密钥、Yubico Yubikeneo和几款天妃FIDO设备(天妃FIDO NFC USB-A/K9、天妃MultiPass FIDO/K13、天妃ePass FIDO USB-C/K21和天妃FIDO NFC USB-C/K40)

两人发现了一个漏洞,该漏洞可能使黑客能够恢复密钥设备使用的主要加密密钥,从而为双因素身份验证(2FA)操作生成加密令牌。

这可能会导致威胁参与者克隆特定的Titan、YubiKey和其他密钥,这意味着黑客可以绕过旨在为用户提供额外保护的2FA程序。

然而,为了使攻击起作用,黑客将需要实际掌握安全密钥设备,因为它不能通过互联网工作。这可能意味着任何丢失或被盗的设备在归还给受害者之前都可以被临时使用和克隆。

然而,一旦这样做了,攻击者就可以克隆用于保护谷歌或Yubico设备的加密密钥,从而允许它们访问。

研究人员还指出,这些钥匙本身提供了强大的攻击保护,并对热和压力具有强大的抵抗力,以抵抗手动闯入的企图。

这意味着如果攻击者可以从办公室或工厂窃取密钥,他们将很难在与开始时相同的条件下归还密钥。

ZDNet联系谷歌时,谷歌强调了这一事实,并指出在“正常情况下”很难实施这种攻击。

标签:

免责声明:本文由用户上传,如有侵权请联系删除!