即使是谷歌最強大的安全工具也無法防范此漏洞

一項新的研究發(fā)現(xiàn)，希望入侵用戶設(shè)備并竊取個人數(shù)據(jù)的黑客可能將Google的物理安全密鑰作為攻擊目標(biāo)。安全專家發(fā)現(xiàn)了一個漏洞，該漏洞會影響Google Titan和YubiKey硬件安全密鑰中包含的硬件，這些漏洞已在尋求這種額外級別保護的用戶中流行。

該缺陷看起來似乎暴露了用于保護設(shè)備的加密密鑰，使其不安全并且容易受到來自外部來源的攻擊。

研究結(jié)果來自位于蒙彼利埃的NinjaLab的研究人員Victor Lomne和Thomas Roche，他們檢查了所有版本的Google Titan安全密鑰，Yubico Yubikey Neo和幾種Feitian FIDO設(shè)備(Feitian FIDO NFC USB-A / K9，F(xiàn)eitian MultiPass FIDO / K13，飛天ePass FIDO USB-C / K21和飛天FIDO NFC USB-C / K40)

二人組發(fā)現(xiàn)了一個漏洞，該漏洞可能使黑客能夠恢復(fù)密鑰設(shè)備使用的主要加密密鑰，從而生成用于兩因素身份驗證(2FA)操作的加密令牌。

這可能會使威脅參與者克隆特定的Titan，YubiKey和其他密鑰，這意味著黑客可以繞過旨在為用戶提供額外保護級別的2FA程序。

但是，為了使攻擊起作用，黑客將需要實際掌握安全密鑰設(shè)備，因為它無法通過Internet進行工作。這可能意味著任何丟失或被盜的設(shè)備可以暫時使用并克隆，然后再返回受害者手中。

但是，一旦完成，攻擊者便可以克隆用于保護Google或Yubico設(shè)備的加密密鑰，從而允許他們訪問。

研究人員還指出，這些鑰匙本身提供了強大的防護能力，可以抵御攻擊，為抵御熱量和壓力提供了強有力的抵抗力，以抵制手工闖入的企圖。

這意味著，如果攻擊者能夠從辦公室或工廠竊取密鑰，那么他們將很難以與開始時相同的條件歸還密鑰。

當(dāng)ZDNet與Google聯(lián)絡(luò)時，Google強調(diào)了這一事實，并指出在“正常情況”下很難進行這種攻擊。