文章插图
一项新的研究发现,希望入侵用户设备并窃取个人数据的黑客可能将Google的物理安全密钥作为攻击目标 。安全专家发现了一个漏洞 , 该漏洞会影响Google Titan和YubiKey硬件安全密钥中包含的硬件,这些漏洞已在寻求这种额外级别保护的用户中流行 。
该缺陷看起来似乎暴露了用于保护设备的加密密钥,使其不安全并且容易受到来自外部来源的攻击 。
研究结果来自位于蒙彼利埃的NinjaLab的研究人员Victor Lomne和Thomas Roche,他们检查了所有版本的Google Titan安全密钥,Yubico Yubikey Neo和几种Feitian FIDO设备(Feitian FIDO NFC USB-A / K9,Feitian MultiPass FIDO / K13,飞天ePass FIDO USB-C / K21和飞天FIDO NFC USB-C / K40)
【即使是谷歌最强大的安全工具也无法防范此漏洞】二人组发现了一个漏洞,该漏洞可能使黑客能够恢复密钥设备使用的主要加密密钥 , 从而生成用于两因素身份验证(2FA)操作的加密令牌 。
这可能会使威胁参与者克隆特定的Titan,YubiKey和其他密钥,这意味着黑客可以绕过旨在为用户提供额外保护级别的2FA程序 。
但是 , 为了使攻击起作用 , 黑客将需要实际掌握安全密钥设备,因为它无法通过Internet进行工作 。这可能意味着任何丢失或被盗的设备可以暂时使用并克隆,然后再返回受害者手中 。
但是 , 一旦完成,攻击者便可以克隆用于保护Google或Yubico设备的加密密钥,从而允许他们访问 。
研究人员还指出,这些钥匙本身提供了强大的防护能力,可以抵御攻击 , 为抵御热量和压力提供了强有力的抵抗力,以抵制手工闯入的企图 。
这意味着 , 如果攻击者能够从办公室或工厂窃取密钥,那么他们将很难以与开始时相同的条件归还密钥 。
当ZDNet与Google联络时,Google强调了这一事实,并指出在“正常情况”下很难进行这种攻击 。
- 谷歌Recorder现在可让您根据转录进行编辑
- SmartHomeVirtualSummit为谷歌Assistant带来了新功能
- 华为手机能用谷歌的软件吗
- 谷歌Play信任可通过透明订阅来提高
- 今年2月免费玩这些谷歌StadiaPro游戏
- 能把英文变中文的软件
- 谷歌搜索的黑暗主题似乎已经为黄金时段做好了准备
- 谷歌Pixel4和Pixel4XL应该进行另一轮改进
- 谷歌向Stadia创始人提供额外的好友通行证
- 谷歌推出了一批重要的安卓增强功能和新功能