นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ใน YubiKey 5 บางรุ่น ซึ่งอาจทำให้เกิดการโคลนได้ในทางทฤษฎี แต่ผู้เชี่ยวชาญชี้ว่าความเสี่ยงในโลกแห่งความเป็นจริงยังคงต่ำสำหรับผู้ใช้ส่วนใหญ่
ภาพระยะใกล้ของ YubiKey 5C อุปกรณ์รักษาความปลอดภัย แสดงให้เห็นถึงฮาร์ดแวร์ที่ได้รับผลกระทบจากช่องโหว่ที่ค้นพบล่าสุด |
ช่องโหว่
นักวิจัยจาก NinjaLab ได้ระบุการโจมตีแบบช่องทางข้างที่ใช้ประโยชน์จากข้อบกพร่องในการเข้ารหัสของไมโครคอนโทรลเลอร์ Infineon SLE78 ที่ใช้ในอุปกรณ์ YubiKey 5 ช่องโหว่นี้อาจส่งผลกระทบต่อผู้ใช้หลายล้านคนที่ใช้คีย์เหล่านี้สำหรับการยืนยันตัวตนแบบหลายปัจจัยเพื่อรักษาความปลอดภัยของบัญชีที่สำคัญ
อุปกรณ์ที่ได้รับผลกระทบ
ผลิตภัณฑ์ YubiKey ต่อไปนี้ที่มีเฟิร์มแวร์เวอร์ชันก่อน 5.7 ได้รับผลกระทบ:
- YubiKey 5 Series
- YubiKey 5 FIPS Series
- YubiKey 5 CSPN Series
- YubiKey Bio Series (ก่อนเวอร์ชัน 5.7.2)
- Security Key Series
- YubiHSM 2 (ก่อนเวอร์ชัน 2.4.0)
การโจมตี: ซับซ้อนและใช้ทรัพยากรมาก
แม้ว่าช่องโหว่นี้จะน่ากังวล แต่การใช้ประโยชน์จากมันต้องการ:
- การครอบครอง YubiKey ทางกายภาพ
- อุปกรณ์เฉพาะทาง (ออสซิลโลสโคป)
- ความรู้ทางเทคนิคขั้นสูง
- เวลาและทรัพยากรที่มาก
NinjaLab ประมาณการค่าใช้จ่ายของอุปกรณ์ที่จำเป็นไว้ที่ประมาณ 10,000 ดอลลาร์ โดยการติดตั้งระดับสูงอาจสูงถึง 40,000 ดอลลาร์
การตอบสนองของ Yubico
Yubico ได้ยอมรับถึงช่องโหว่นี้และได้ออกเฟิร์มแวร์ที่อัปเดต (เวอร์ชัน 5.7 และใหม่กว่า) เพื่อแก้ไขปัญหานี้ อย่างไรก็ตาม เนื่องจากลักษณะการป้องกันการแก้ไขของคีย์ อุปกรณ์ที่มีอยู่ไม่สามารถแก้ไขได้
คุณควรกังวลหรือไม่?
แม้จะมีช่องโหว่ ผู้เชี่ยวชาญด้านความปลอดภัยเน้นย้ำว่าการใช้ YubiKey ยังคงให้การป้องกันที่แข็งแกร่งกว่าการพึ่งพาเพียงรหัสผ่านอย่างมาก ลักษณะที่ซับซ้อนของการโจมตีทำให้ไม่น่าจะเป็นภัยคุกคามที่แพร่หลายสำหรับผู้ใช้ส่วนใหญ่
ผู้ใช้ควรทำอย่างไร
- ตรวจสอบเวอร์ชันของ YubiKey ของคุณโดยใช้แอป Yubico Authenticator
- หากใช้รุ่นที่ได้รับผลกระทบ ให้พิจารณาอัปเกรดเป็นเวอร์ชันใหม่กว่าสำหรับแอปพลิเคชันที่สำคัญ
- ใช้ YubiKey ของคุณต่อไป เนื่องจากยังคงให้การป้องกันที่แข็งแกร่งต่อการโจมตีทั่วไป
ผลกระทบในวงกว้าง
ช่องโหว่ที่ค้นพบอาจขยายไปไกลกว่า YubiKey ไปยังอุปกรณ์อื่น ๆ ที่ใช้ไมโครคอนโทรลเลอร์ Infineon SLE78 รวมถึงหนังสือเดินทางอิเล็กทรอนิกส์และกระเป๋าเงินฮาร์ดแวร์สำหรับคริปโตเคอร์เรนซี การวิจัยเพิ่มเติมกำลังดำเนินการเพื่อกำหนดขอบเขตทั้งหมดของปัญหา
ในขณะที่ช่องโหว่ของ YubiKey 5 เป็นการเตือนว่าไม่มีโซลูชันความปลอดภัยใดที่สมบูรณ์แบบ แต่ก็ยังเน้นย้ำถึงความสำคัญของการวิจัยด้านความปลอดภัยอย่างต่อเนื่องและคุณค่าของการยืนยันตัวตนแบบฮาร์ดแวร์ในการสร้างชั้นการป้องกันที่แข็งแกร่ง