一项新的研究发现，希望入侵用户设备并窃取个人数据的黑客可能将Google的物理安全密钥作为攻击目标。

安全专家发现了一个漏洞，该漏洞会影响Google Titan和YubiKey硬件安全密钥中包含的硬件，这些漏洞已在寻求这种额外级别保护的用户中流行。

该缺陷看起来似乎暴露了用于保护设备的加密密钥，使其不安全并且容易受到来自外部来源的攻击。

已解锁

研究结果来自位于蒙彼利埃的NinjaLab的研究人员Victor Lomne和Thomas Roche，他们检查了所有版本的Google Titan安全密钥，Yubico Yubikey Neo和几种Feitian FIDO设备（Feitian FIDO NFC USB-A / K9，Feitian MultiPass FIDO / K13，飞天ePass FIDO USB-C / K21和飞天FIDO NFC USB-C / K40）

二人组发现了一个漏洞，该漏洞可能使黑客能够恢复密钥设备使用的主要加密密钥，从而生成用于两因素身份验证（2FA）操作的加密令牌。

这可能会使威胁参与者克隆特定的Titan，YubiKey和其他密钥，这意味着黑客可以绕过旨在为用户提供额外保护级别的2FA程序。

但是，为了使攻击起作用，黑客将需要实际掌握安全密钥设备，因为它无法通过Internet进行工作。这可能意味着任何丢失或被盗的设备可以暂时使用并克隆，然后再返回受害者手中。

但是，一旦完成，攻击者便可以克隆用于保护Google或Yubico设备的加密密钥，从而允许他们访问。

研究人员还指出，这些钥匙本身提供了强大的防护能力，可以抵御攻击，为抵御热量和压力提供了强有力的抵抗力，以抵制手工闯入的企图。

这意味着，如果攻击者能够从办公室或工厂窃取密钥，那么他们将很难以与开始时相同的条件归还密钥。

当ZDNet与Google联络时，Google强调了这一事实，并指出在“正常情况”下很难进行这种攻击。