Jannah Theme License is not validated, Go to the theme options page to validate the license, You need a single license for each domain name.
، مقالات،

تحتوي بعض مفاتيح YubiKeys على ثغرة أمنية غير قابلة للإصلاح ويصعب استغلالها


اكتشف باحثو الأمن ثغرة أمنية في رموز المصادقة الثنائية YubiKey التي تمكن المهاجمين من استنساخ الجهاز وفقًا لاستشارة أمنية جديدة. تم اكتشاف الثغرة داخل مكتبة التشفير Infineon التي تستخدمها معظم منتجات YubiKey، بما في ذلك أجهزة سلسلة YubiKey 5 وYubikey Bio وSecurity Key وYubiHSM 2.

تقول شركة Yubico المصنعة لـ YubiKey إن خطورة ثغرة القناة الجانبية “متوسطة” ولكن يصعب استغلالها، ويرجع ذلك جزئيًا إلى أن الأنظمة ذات العاملين تعتمد على شيء يمتلكه المستخدم وشيء يجب أن يعرفه فقط.

وقالت الشركة في تحذيرها الأمني: “سيحتاج المهاجم إلى الحيازة الفعلية لمفتاح YubiKey، أو مفتاح الأمان، أو YubiHSM، ومعرفة الحسابات التي يريد استهدافها، ومعدات متخصصة لتنفيذ الهجوم اللازم”. “اعتمادًا على حالة الاستخدام، قد يطلب المهاجم أيضًا معرفة إضافية بما في ذلك اسم المستخدم أو رقم التعريف الشخصي أو كلمة مرور الحساب أو مفتاح المصادقة.” لكن هذه لا تشكل بالضرورة رادعاً لهجوم فردي أو هجوم ترعاه دولة ذات دوافع عالية.

نظرًا لأنه لا يمكن تحديث البرامج الثابتة لـ YubiKey، فإن جميع أجهزة YubiKey 5 قبل الإصدار 5.7 (أو 5.7.2 لسلسلة Bio و2.4.0 لـ YubiHSM 2) ستظل عرضة للخطر إلى الأبد. لا تتأثر إصدارات النماذج اللاحقة لأنها لم تعد تستخدم مكتبة التشفير Infineon. وتقدر شركة NinjaLab، الشركة الأمنية التي اكتشفت الثغرة الأمنية، أنها كانت موجودة في أفضل شرائح الأمان لشركة Infineon منذ أكثر من 14 عامًا. ويعتقد الباحثون أن الأجهزة الأخرى التي تستخدم مكتبة التشفير Infineon أو وحدات التحكم الدقيقة Infineon’s SLE78 وOptiga Trust M وOptiga TPM معرضة للخطر أيضًا.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى