Yubico thu hồi khóa bảo mật bị lỗi firmware

15/06/2019 08:37 GMT+7

Yubico mới đây cho biết hãng đang tiến hành thu hồi một dòng khóa bảo mật, được sử dụng bởi chính phủ Mỹ do lỗ hổng về firmware.

Theo Engadget, công ty đã phát hành một cảnh báo bảo mật về một sự cố trong các thiết bị YubiKey FIPS, YubiKey Nano FIPS, YubiKey C FIPS, YubiKey C Nano FIPS với các phiên bản firmware 4.4.2 và 4.4.4 làm giảm tính ngẫu nhiên của các khóa mật mã mà nó tạo ra. Các khóa bảo mật bị ảnh hưởng được sử dụng bởi hàng ngàn nhân viên liên bang hằng ngày cho phép họ đăng nhập an toàn vào thiết bị của mình bằng cách cấp mật khẩu một lần.
Yubico cho biết lỗ hổng giữ "một số nội dung có thể dự đoán" bên trong bộ đệm dữ liệu của thiết bị có thể ảnh hưởng đến tính ngẫu nhiên của các khóa bảo mật được tạo ra. Khóa bảo mật sử dụng ECDSA có rủi ro sử dụng cao hơn so với các trường hợp khác.
Tổng cộng 80 trong số 256 bit được tạo bởi khóa vẫn ở trạng thái tĩnh, nghĩa là kẻ tấn công giành được quyền truy cập vào một số chữ ký có thể tạo lại khóa riêng. Yubico cho biết các khách hàng bị ảnh hưởng sẽ nhận được một chìa khóa thay thế.
Đây không phải là lần đầu tiên một công ty bảo mật đưa ra thông báo thu hồi tương tự. Google đầu năm nay đã thu hồi một số khóa bảo mật Titan sau khi tìm thấy lỗ hổng Bluetooth.
Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.