圖片來源:翻攝自https://twitter.com/Yubico/status/1139178240365350912

正當業界力推無密碼輸入方案,使硬體安全金鑰大行其道,也讓這些產品的安全性更為重要。繼Google二周前的召回行動後,USB安全金鑰裝置Yubico也在周四發出公告,旗下一個系列產品韌體有臭蟲可能降低安全性,將召回市面產品並為用戶免費換新。

Yubico指出,這個漏洞出在YubiKey FIPS系列上的韌體包括4.4.2及4.4.4(沒有4.4.3)版,造成硬體每次啟動後,YubiKey FIPS app使用的第一組隨機值的隨機性降低,以致降低金鑰的安全強度。

該公司解釋,問題在當FIPS產品開機進行自我測試時,持有隨機值的緩衝區包含了一些可預測值,進而影響到加密作業,包括RSA金鑰、ECDSA簽章、橢圓曲線密碼(ECC)金鑰及ECC加密等。受影響的使用情境包括FIDO U2F(即硬體金鑰),而智慧卡、OpenPGP及OATH一次性密碼的安全性也可能被削弱。

受該漏洞影響的產品包括YubiKey FIPS、YubiKey Nano FIPS、YubiKey C FIPS及YubiKey C Nano FIPS。其他產品則不受影響。

Yubico也提供召回及免費換新服務。在電商網站或和Yubico直接購買到瑕疵產品的用戶,可上網站登記並申請換貨。而透過經銷商購得的用戶,則需和廠商聯絡。

五月中Google也才因為藍牙版Titan爆出,可讓駭客冒名登入用戶Google帳號或連上受害者裝置的漏洞,而宣佈免費為使用者換新。而出現相同漏洞的中國廠商Feitian(飛天誠信),也宣佈了舊換新行動。


Advertisement

更多 iThome相關內容