即使是谷歌最強(qiáng)大的安全工具也無(wú)法防范此漏洞

一項(xiàng)新的研究發(fā)現(xiàn)，希望入侵用戶(hù)設(shè)備并竊取個(gè)人數(shù)據(jù)的黑客可能將Google的物理安全密鑰作為攻擊目標(biāo)。安全專(zhuān)家發(fā)現(xiàn)了一個(gè)漏洞，該漏洞會(huì)影響Google Titan和YubiKey硬件安全密鑰中包含的硬件，這些漏洞已在尋求這種額外級(jí)別保護(hù)的用戶(hù)中流行。

該缺陷看起來(lái)似乎暴露了用于保護(hù)設(shè)備的加密密鑰，使其不安全并且容易受到來(lái)自外部來(lái)源的攻擊。

研究結(jié)果來(lái)自位于蒙彼利埃的NinjaLab的研究人員Victor Lomne和Thomas Roche，他們檢查了所有版本的Google Titan安全密鑰，Yubico Yubikey Neo和幾種Feitian FIDO設(shè)備(Feitian FIDO NFC USB-A / K9，F(xiàn)eitian MultiPass FIDO / K13，飛天ePass FIDO USB-C / K21和飛天FIDO NFC USB-C / K40)

二人組發(fā)現(xiàn)了一個(gè)漏洞，該漏洞可能使黑客能夠恢復(fù)密鑰設(shè)備使用的主要加密密鑰，從而生成用于兩因素身份驗(yàn)證(2FA)操作的加密令牌。

這可能會(huì)使威脅參與者克隆特定的Titan，YubiKey和其他密鑰，這意味著黑客可以繞過(guò)旨在為用戶(hù)提供額外保護(hù)級(jí)別的2FA程序。

但是，為了使攻擊起作用，黑客將需要實(shí)際掌握安全密鑰設(shè)備，因?yàn)樗鼰o(wú)法通過(guò)Internet進(jìn)行工作。這可能意味著任何丟失或被盜的設(shè)備可以暫時(shí)使用并克隆，然后再返回受害者手中。

但是，一旦完成，攻擊者便可以克隆用于保護(hù)Google或Yubico設(shè)備的加密密鑰，從而允許他們?cè)L問(wèn)。

研究人員還指出，這些鑰匙本身提供了強(qiáng)大的防護(hù)能力，可以抵御攻擊，為抵御熱量和壓力提供了強(qiáng)有力的抵抗力，以抵制手工闖入的企圖。

這意味著，如果攻擊者能夠從辦公室或工廠竊取密鑰，那么他們將很難以與開(kāi)始時(shí)相同的條件歸還密鑰。

當(dāng)ZDNet與Google聯(lián)絡(luò)時(shí)，Google強(qiáng)調(diào)了這一事實(shí)，并指出在“正常情況”下很難進(jìn)行這種攻擊。