TH



TH
BigGo Magเกี่ยวกับเราร่วมงานกับเราติดต่อเราข้อกำหนดผู้ใช้ศูนย์ช่วยเหลือ
© 2024 BigGo
ติดตั้ง
ดาวน์โหลดแอป
ข่าว
เทคโนโลยี
ความปลอดภัย

ช่องโหว่ของ YubiKey 5: การโคลนเป็นไปได้ แต่ผู้เชี่ยวชาญระบุความเสี่ยงยังต่ำ

BigGo Editorial Team
ช่องโหว่ของ YubiKey 5: การโคลนเป็นไปได้ แต่ผู้เชี่ยวชาญระบุความเสี่ยงยังต่ำ

นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ใน YubiKey 5 บางรุ่น ซึ่งอาจทำให้เกิดการโคลนได้ในทางทฤษฎี แต่ผู้เชี่ยวชาญชี้ว่าความเสี่ยงในโลกแห่งความเป็นจริงยังคงต่ำสำหรับผู้ใช้ส่วนใหญ่

ภาพระยะใกล้ของ YubiKey 5C อุปกรณ์รักษาความปลอดภัย แสดงให้เห็นถึงฮาร์ดแวร์ที่ได้รับผลกระทบจากช่องโหว่ที่ค้นพบล่าสุด
ภาพระยะใกล้ของ YubiKey 5C อุปกรณ์รักษาความปลอดภัย แสดงให้เห็นถึงฮาร์ดแวร์ที่ได้รับผลกระทบจากช่องโหว่ที่ค้นพบล่าสุด

ช่องโหว่

นักวิจัยจาก NinjaLab ได้ระบุการโจมตีแบบช่องทางข้างที่ใช้ประโยชน์จากข้อบกพร่องในการเข้ารหัสของไมโครคอนโทรลเลอร์ Infineon SLE78 ที่ใช้ในอุปกรณ์ YubiKey 5 ช่องโหว่นี้อาจส่งผลกระทบต่อผู้ใช้หลายล้านคนที่ใช้คีย์เหล่านี้สำหรับการยืนยันตัวตนแบบหลายปัจจัยเพื่อรักษาความปลอดภัยของบัญชีที่สำคัญ

อุปกรณ์ที่ได้รับผลกระทบ

ผลิตภัณฑ์ YubiKey ต่อไปนี้ที่มีเฟิร์มแวร์เวอร์ชันก่อน 5.7 ได้รับผลกระทบ:

  • YubiKey 5 Series
  • YubiKey 5 FIPS Series
  • YubiKey 5 CSPN Series
  • YubiKey Bio Series (ก่อนเวอร์ชัน 5.7.2)
  • Security Key Series
  • YubiHSM 2 (ก่อนเวอร์ชัน 2.4.0)

การโจมตี: ซับซ้อนและใช้ทรัพยากรมาก

แม้ว่าช่องโหว่นี้จะน่ากังวล แต่การใช้ประโยชน์จากมันต้องการ:

  1. การครอบครอง YubiKey ทางกายภาพ
  2. อุปกรณ์เฉพาะทาง (ออสซิลโลสโคป)
  3. ความรู้ทางเทคนิคขั้นสูง
  4. เวลาและทรัพยากรที่มาก

NinjaLab ประมาณการค่าใช้จ่ายของอุปกรณ์ที่จำเป็นไว้ที่ประมาณ 10,000 ดอลลาร์ โดยการติดตั้งระดับสูงอาจสูงถึง 40,000 ดอลลาร์

การตอบสนองของ Yubico

Yubico ได้ยอมรับถึงช่องโหว่นี้และได้ออกเฟิร์มแวร์ที่อัปเดต (เวอร์ชัน 5.7 และใหม่กว่า) เพื่อแก้ไขปัญหานี้ อย่างไรก็ตาม เนื่องจากลักษณะการป้องกันการแก้ไขของคีย์ อุปกรณ์ที่มีอยู่ไม่สามารถแก้ไขได้

คุณควรกังวลหรือไม่?

แม้จะมีช่องโหว่ ผู้เชี่ยวชาญด้านความปลอดภัยเน้นย้ำว่าการใช้ YubiKey ยังคงให้การป้องกันที่แข็งแกร่งกว่าการพึ่งพาเพียงรหัสผ่านอย่างมาก ลักษณะที่ซับซ้อนของการโจมตีทำให้ไม่น่าจะเป็นภัยคุกคามที่แพร่หลายสำหรับผู้ใช้ส่วนใหญ่

ผู้ใช้ควรทำอย่างไร

  1. ตรวจสอบเวอร์ชันของ YubiKey ของคุณโดยใช้แอป Yubico Authenticator
  2. หากใช้รุ่นที่ได้รับผลกระทบ ให้พิจารณาอัปเกรดเป็นเวอร์ชันใหม่กว่าสำหรับแอปพลิเคชันที่สำคัญ
  3. ใช้ YubiKey ของคุณต่อไป เนื่องจากยังคงให้การป้องกันที่แข็งแกร่งต่อการโจมตีทั่วไป

ผลกระทบในวงกว้าง

ช่องโหว่ที่ค้นพบอาจขยายไปไกลกว่า YubiKey ไปยังอุปกรณ์อื่น ๆ ที่ใช้ไมโครคอนโทรลเลอร์ Infineon SLE78 รวมถึงหนังสือเดินทางอิเล็กทรอนิกส์และกระเป๋าเงินฮาร์ดแวร์สำหรับคริปโตเคอร์เรนซี การวิจัยเพิ่มเติมกำลังดำเนินการเพื่อกำหนดขอบเขตทั้งหมดของปัญหา

ในขณะที่ช่องโหว่ของ YubiKey 5 เป็นการเตือนว่าไม่มีโซลูชันความปลอดภัยใดที่สมบูรณ์แบบ แต่ก็ยังเน้นย้ำถึงความสำคัญของการวิจัยด้านความปลอดภัยอย่างต่อเนื่องและคุณค่าของการยืนยันตัวตนแบบฮาร์ดแวร์ในการสร้างชั้นการป้องกันที่แข็งแกร่ง

ข่าวที่เกี่ยวข้อง
ราคาสูงของ PlayStation 5 Pro: การทดสอบเชิงกลยุทธ์ต่อความอดทนของผู้บริโภค
1 ชั่วโมงที่ผ่านมา
Huawei เปิดตัวซีรีส์ Watch GT 5: คุณสมบัติระดับพรีเมียมและแบตเตอรี่อายุการใช้งานยาวนาน
4 ชั่วโมงที่ผ่านมา
DJI ท้าทาย GoPro ด้วย Osmo Action 5 Pro: แบตเตอรี่อายุการใช้งาน 4 ชั่วโมงและฟีเจอร์ระดับมืออาชีพ
5 ชั่วโมงที่ผ่านมา
วันสุดท้ายของ Windows 10: การผลักดันโฆษณาของ Microsoft และทางเลือก 5 ประการของคุณ
5 วันที่ผ่านมา
ข่าวรั่วไหล PS5 Pro เผยการอัปเกรดครั้งใหญ่ด้าน Ray Tracing ด้วยเทคโนโลยีรุ่นใหม่ล่าสุดจาก AMD
5 วันที่ผ่านมา