广泛使用的双因素验证硬件令牌 YubiKey 5 存在加密漏洞,攻击者短时间物理接触该设备后能对其进行克隆。该加密漏洞被称为侧信道,存在于其使用的一个微控制器中,而该微控制器被大量身份验证设备使用。研究人员确认 YubiKey 5 系列所有型号都能被克隆,不过没有测试其它使用该微控制器的设备。YubiKey 5 使用的微控制器是英飞凌(Infineon)制造的 SLE78,以及后续型号 Optiga Trust M 和 Optiga TPM。研究人员怀疑所有使用这三种微控制器的设备都存在相同的漏洞。5 月释出的 YubiKey 5 v5.7 新固件修复了该漏洞,它使用定制的加密库取代了英飞凌的加密库。但 YubiKey 5 本身是无法更新固件的,这意味着所有运行旧版本固件的 YubiKey 5 将会永久性存在该漏洞。
