- การเปรียบเทียบ
- บทเรียน
- แม้แต่เครื่องมือรักษาความปลอดภัยที่แข็งแกร่งที่สุดของ Google ก็ไม่สามารถป้องกันข้อบกพร่องนี้ได้
คีย์ความปลอดภัยทางกายภาพของ Google อาจถูกกำหนดเป้าหมายโดยแฮกเกอร์ที่ต้องการเจาะเข้าไปในอุปกรณ์ของผู้ใช้และขโมยข้อมูลส่วนบุคคล การวิจัยใหม่แสดงให้เห็น ผู้เชี่ยวชาญด้านความปลอดภัยได้ค้นพบช่องโหว่ที่ส่งผลต่อฮาร์ดแวร์ที่รวมอยู่ในคีย์ความปลอดภัยฮาร์ดแวร์ Google Titan และ YubiKey ซึ่งได้รับความนิยมในหมู่ผู้ใช้ที่กำลังมองหาระดับการป้องกันพิเศษดังกล่าว ข้อบกพร่องดังกล่าวดูเหมือนจะเปิดเผยคีย์เข้ารหัสที่ใช้เพื่อปกป้องอุปกรณ์ ทำให้ไม่ปลอดภัยและเปิดรับการโจมตีจากแหล่งภายนอก
ปลดล็อค
ผลลัพธ์มาจาก Victor Lomne และ Thomas Roche นักวิจัยที่ NinjaLab ในเมืองมงต์เปลลิเยร์ ซึ่งตรวจสอบคีย์ความปลอดภัย Titan ของ Google ทุกเวอร์ชัน, Yubico Yubikey Neo และอุปกรณ์ Feitian FIDO หลายตัว (Feitian FIDO NFC USB-A/K9, Feitian MultiPass FIDO/ K13, Feitian ePass FIDO USB-C/K21 และ Feitian FIDO NFC USB-C/K40) ทั้งคู่ได้ค้นพบข้อบกพร่องที่อาจทำให้แฮกเกอร์สามารถกู้คืนคีย์การเข้ารหัสหลักที่ใช้โดยอุปกรณ์หลักเพื่อสร้างโทเค็นการเข้ารหัสที่ใช้ในสองปัจจัย การดำเนินการรับรองความถูกต้อง (2FA) สิ่งนี้อาจทำให้ผู้คุกคามสามารถโคลน Titan, YubiKey และคีย์เฉพาะอื่น ๆ ได้ ซึ่งหมายความว่าแฮกเกอร์สามารถข้ามขั้นตอน 2FA ที่คาดว่าจะให้การป้องกันระดับพิเศษแก่ผู้ใช้ อย่างไรก็ตาม เพื่อให้การโจมตีทำงานได้ แฮกเกอร์จะต้องได้รับอุปกรณ์คีย์ความปลอดภัยทางกายภาพ เนื่องจากจะไม่ทำงานผ่านอินเทอร์เน็ต ซึ่งอาจหมายความว่าอุปกรณ์ที่สูญหายหรือถูกขโมยสามารถนำมาใช้และโคลนชั่วคราวได้ ก่อนที่จะส่งคืนให้กับเหยื่อ อย่างไรก็ตาม เมื่อเสร็จสิ้นแล้ว ผู้โจมตีสามารถโคลนคีย์เข้ารหัสที่ใช้เพื่อปกป้องอุปกรณ์ Google หรือ Yubico เพื่อให้สามารถเข้าถึงได้ นักวิจัยยังตั้งข้อสังเกตอีกว่ากุญแจเหล่านี้ให้การป้องกันที่แข็งแกร่งต่อการโจมตี โดยต่อสู้กับความร้อนและความกดดันอย่างหนักเพื่อต้านทานการพยายามคัดเลือก ซึ่งหมายความว่าหากผู้โจมตีสามารถขโมยกุญแจจากสำนักงานหรือโรงงานได้ พวกเขาจะมีเวลาที่ยากลำบากในการคืนกุญแจให้กลับสู่สถานะเดิมที่พวกเขาเริ่มต้น Google ได้รับการติดต่อจาก ZDNet โดยเน้นย้ำข้อเท็จจริงนี้ โดยเน้นว่าการโจมตีดังกล่าวจะทำได้ยากภายใต้ "สถานการณ์ปกติ" ผ่านทาง ZDNet