Yubico thu hồi khóa bảo mật bị lỗi firmware

Thanh Niên Online

Đánh giá tác giả

Yubico mới đây cho biết hãng đang tiến hành thu hồi một dòng khóa bảo mật, được sử dụng bởi chính phủ Mỹ do lỗ hổng về firmware.
Không chỉ Google, nhiều mẫu khóa bảo mật của Yubico cũng dính lỗ hổng về bảo mật buộc hãng phải tiến hành thu hồi /// Ảnh Yubico Không chỉ Google, nhiều mẫu khóa bảo mật của Yubico cũng dính lỗ hổng về bảo mật buộc hãng phải tiến hành thu hồi - Ảnh Yubico
Không chỉ Google, nhiều mẫu khóa bảo mật của Yubico cũng dính lỗ hổng về bảo mật buộc hãng phải tiến hành thu hồi
Ảnh Yubico
Theo Engadget, công ty đã phát hành một cảnh báo bảo mật về một sự cố trong các thiết bị YubiKey FIPS, YubiKey Nano FIPS, YubiKey C FIPS, YubiKey C Nano FIPS với các phiên bản firmware 4.4.2 và 4.4.4 làm giảm tính ngẫu nhiên của các khóa mật mã mà nó tạo ra. Các khóa bảo mật bị ảnh hưởng được sử dụng bởi hàng ngàn nhân viên liên bang hằng ngày cho phép họ đăng nhập an toàn vào thiết bị của mình bằng cách cấp mật khẩu một lần.
Yubico cho biết lỗ hổng giữ "một số nội dung có thể dự đoán" bên trong bộ đệm dữ liệu của thiết bị có thể ảnh hưởng đến tính ngẫu nhiên của các khóa bảo mật được tạo ra. Khóa bảo mật sử dụng ECDSA có rủi ro sử dụng cao hơn so với các trường hợp khác.
Tổng cộng 80 trong số 256 bit được tạo bởi khóa vẫn ở trạng thái tĩnh, nghĩa là kẻ tấn công giành được quyền truy cập vào một số chữ ký có thể tạo lại khóa riêng. Yubico cho biết các khách hàng bị ảnh hưởng sẽ nhận được một chìa khóa thay thế.
Đây không phải là lần đầu tiên một công ty bảo mật đưa ra thông báo thu hồi tương tự. Google đầu năm nay đã thu hồi một số khóa bảo mật Titan sau khi tìm thấy lỗ hổng Bluetooth.

Bình luận

Gửi bình luận
Ý kiến của bạn sẽ được biên tập trước khi đăng. Xin vui lòng gõ tiếng Việt có dấu
  • Tối thiểu 10 chữ
  • Tiếng Việt có dấu
  • Không chứa liên kết

VIDEO ĐANG XEM NHIỀU