久久福利青草精品资源站免费,老头老太野外bbwbbwbbw,A片视频大全

研究者克隆Google硬件密鑰繞過雙因素認證

責編：gltian ｜2021-01-12 14:20:33

采用物理密鑰驗證的雙因素認證通常被認為安全性遠高于短信驗證，但是最近NinjaLab研究人員設計了一種側信道攻擊方法來繞過Google的Titan物理密鑰（通過克隆2FA物理密鑰）。

下面我們來看看安全研究者如何完成這個“不可能的任務”。

第一步，研究人員用熱風槍和手術刀撬開Titan密鑰。由于密鑰的塑料外殼牢固粘合在一起需要先用熱風槍軟化白色塑料，然后使用手術刀分離兩個外殼部件。

顯然，這個Titan密鑰再也沒有辦法恢復到原來的樣子了。

然后，使用專用軟件和設備對存儲密鑰和執行加密工作的NXP A700X芯片進行分析。

這個過程極為復雜和困難，這個步驟需要花費10小時左右。

根據研究者發布的論文，該方法的條件較為“苛刻”，需要攻擊者事先知道受害者的密碼，拿到硬件密鑰，而且需要花費大約10個小時才能克隆密鑰。此外，還需要價值1.2萬美元的設備和特殊軟件，以及一個熟練的黑客。

顯然，由于以上諸多限制，該漏洞（CVE-2021-3011）暫時不會威脅到普通用戶，只有尖端黑客組織和情報機構會對此方法感興趣，Google公司甚至宣布該漏洞不屬于漏洞賞金計劃范圍，不會給研究者任何獎勵。

需要強調的是，即使出現上述攻擊方法，物理密鑰的安全性依然要遠高于短信驗證，對于大多數用戶來說依然是非常強壯的安全措施，防范克隆攻擊唯一需要注意的是，物理密鑰需要妥善保管，不可輕易借給他人。

參考資料

針對Google硬件密鑰Titan的側信道攻擊：

https://ninjalab.io/wp-content/uploads/2021/01/a_side_journey_to_titan.pdf