網路安全公司NinjaLab 日前發布安全公告透露Yubico 等硬體安全金鑰存在的安全漏洞，Yubico 旗下的Yubikey 是目前最受歡迎的硬體安全金鑰之一，不過實際受到該漏洞影響的遠不止於硬體安全密鑰，其他涉及英飛凌TPM 安全模組或控制器的裝置也受影響。

問題根源在於英飛凌安全微控制器使用的加密庫存在缺陷，研究人員在實體接觸硬體安全金鑰的情況下，最長可以在24 小時內完成資料解密。

然而這次問題嚴重影響Yubico 硬體安全金鑰，因為該公司製造的不少硬體安全金鑰不支援韌體更新功能，這意味著漏洞無法修復而是長期存在，除非用戶放棄使用舊金鑰購買新密鑰。

要透過這個漏洞展開攻擊難度非常大，也就是說在現實世界中如果真有人利用此漏洞進行攻擊，那花費的成本可能也是非常高的，因此大多數用戶不會受該問題影響。

在這種情況下繼續使用存在側通道攻擊缺陷的YubiKey 仍然比不使用硬體密鑰安全，畢竟硬體安全密鑰的好處在於無法遠端攻擊，再強大的攻擊者也得物理接觸到設備後才能操作。

說到這藍點網還想起來Yubico 在今年5 月發布5.7 版固件，該固件也僅適用於新出廠的設備，當時Yubico 沒透露這個新固件是乾嘛用的，現在知道了，是用來修復側通道攻擊漏洞的(此漏洞在4 月通報給Yubico 的)

以下是受影響的產品版本：

• YubiKey 5 系列5.7 之前的版本
• YubiKey 5 FIPS 系列5.7 之前的版本
• YubiKey 5 CSPN 系列5.7 之前的版本
• YubiKey Bio 系列5.7.2 之前的版本
• 安全金鑰系列5.7 之前的版本
• YubiHSM 2.4 之前的版本
• YubiHSM 2 FIPS 2.4 之前的版本

上述的版本號其實也就是YubiKey 修復的版本號，遺憾的是根據Yubico 公司的安全政策，硬體金鑰出廠後不再支援更換固件，這個政策是防止金鑰出廠後被惡意行為者刷入惡意韌體的。

因此搭載舊版韌體的YubiKey 無法更新韌體而漏洞永遠存在，好在這個漏洞說起來對大多數用戶的影響有限，可能在高安全環境中用戶尤其是企業或機構用戶應當立即購買新的硬體安全密鑰進行替換。

最後英飛凌的微控制器漏洞影響的遠不只是YubiKey，但哪些產品還使用這些微控制器還不清楚，英飛凌至今也沒有回應安全公司的郵件。