硬體安全金鑰製造商Yubico被發現仍在銷售有安全漏洞的Yubikey
2024 年9 月網路安全公司爆出晶片製造商英飛凌推出的TPM 模組加密庫存在側通道攻擊弱點,受影響最大的就是知名硬體安全金鑰製造商Yubico。
Yubico 推出的硬體安全金鑰Yubikey 多數都採用英飛凌的晶片,但本身這些硬體金鑰在設計之初就從安全角度考慮,一旦完成生產就不能更新韌體。
因此受影響的這些硬體安全金鑰無法修復漏洞,除非用戶放棄手邊的金鑰重新購買新金鑰,對用戶來說這又是一筆額外的花費。
值得注意的是到目前為止,Yubico 仍然在銷售存在安全漏洞的Yubikey 硬體安全密鑰,儘管部門新生產的型號已經修復漏洞,但這些包含漏洞的型號也在繼續銷售中。
從某種方面來說Yubico 的做法應該是立即停止銷售包含漏洞的金鑰,同時從零售通路商回收尚未出售的金鑰,以及對已經出售的金鑰進行召回。
但顯然這些措施都會造成巨大的經濟損失,所以現在Yubico 的做法就是當一切都沒發生,除了更新新生產的硬體金鑰外,其他的就當不存在。
使用這類硬體安全金鑰的使用者通常都注重安全性,結果現在Yubikey 存在安全弱點,這無疑讓使用者感到無奈,畢竟注重安全性那不應該再繼續使用存在弱點的金鑰。
當然這裡也要再解釋下英飛凌TPM 加密庫的弱點問題,根據現有的安全研究,能夠物理接觸到Yubikey 的駭客,最長可以在24 小時內完成資料解密。
在現實世界中暫時還未發現有駭客真的嘗試破解Yubikey,真正有能力進行破解的可能也是國家級黑客團隊或間諜機構,因此Yubico 可能認為這不會對大多數用戶造成影響。
但諷刺的是可能遭到攻擊的使用者本身就是依賴這些安全金鑰作為安全措施之一來提高安全性的,所以無論從哪個角度來說Yubico 這波操作都會讓使用者感到擔憂。