详细内容或原文请订阅后点击阅览
EUCLEAK:黑客可以在你眼皮子底下窃取你的 YubiKey
研究人员发现英飞凌芯片存在严重漏洞。
来源:安全实验室新闻频道研究人员在Infineon芯片中发现了严重的脆弱性。
研究人员在两个因子身份验证的流行设备中发现了严重的脆弱性。这一发现可能会危及许多依赖这些代币来保护其帐户的用户的安全。
问题在于Infineon开发的密码库。漏洞允许攻击者克隆Yubikey 5,但前提是对设备的临时物理访问。该攻击称为Eucleak,基于对SO被称为的侧通道的分析 - 信息通过设备的物理表现泄漏。
Eucleak div>在这种情况下,侧渠道是执行某些加密操作的时间。更具体地说,漏洞在模块化倒置期间表现出来。攻击者可以在时间上测量微小的差异,并基于这些数据来提取具有令牌安全性的秘密键ECDA。
忍者的专家发现了脆弱性,详细描述了攻击机制。他们使用示波器在标记身份验证过程中测量电磁辐射。这使他们能够检测出揭示钥匙的临时差异。
更准确地说,漏洞是在扩展的欧几里得算法的Infineon的实现中 - 所使用的方法,包括用于计算模块化反演。
Yubikey 5系列的所有型号都在5.7版以下的固件下易受伤害。不幸的是,在这些设备上更新固件是不可能的,这使其永久容易受到此攻击的影响。 Yubico于5月发布了5.7版的固件,该固件取代了Infineon隐秘的纤维,其自身的开发。但是,这并不能解决已经发布的设备的问题。
在潜在脆弱的微控制器中,研究人员称SLE78的生产Infineon及其继任者-Infineon Optiga Trust M和Infineon Optiga TPM。
身份验证 div>