2P by GN⁺ | ★ favorite | 댓글 1개
  • EUCLEAK 공격에 취약한 펌웨어가 들어간 YubiKey 구형 재고가 폐기되지 않고 계속 판매 중이라는 제보가 나옴
  • 근거는 Fefe's Blog 독자 제보이며, 공식 발표나 제조사 확인 내용은 포함되지 않음
  • 현재 확인 가능한 범위는 “구형 재고”와 “취약한 펌웨어” 수준에 머물며, 모델명·펌웨어 버전은 제공되지 않음
  • 판매 지속 여부도 “apparently”라는 표현에 기반해, 확정된 사실이라기보다 제보 기반 정황으로 봐야 함
  • 새로 구매한 YubiKey라도 펌웨어 취약성 여부를 별도로 확인해야 할 수 있음

제보로 확인된 범위

  • YubiKey가 EUCLEAK 공격에 취약한 펌웨어가 포함된 구형 재고를 계속 판매 중이라는 내용이 공유됨
  • 해당 재고는 폐기되지 않고 판매되는 것으로 전해짐
  • 근거로 Fefe's Blog에 올라온 독자 제보가 언급됨

아직 빠진 확인 정보

  • 구체적인 YubiKey 모델명, 펌웨어 버전, 판매 지역, 판매 채널은 제공되지 않음
  • YubiKey 측의 공식 입장이나 조치 여부도 포함되어 있지 않음

댓글과 토론

Hacker News 의견
  • YubiKey의 취약점 발표를 놓쳤으나, 개인의 위협 모델에는 큰 영향을 주지 않음

    • 공격자가 YubiKey를 물리적으로 소유하고, 타겟 계정에 대한 지식과 전문 장비가 필요함
    • 사용자 이름, PIN, 계정 비밀번호, 인증 키 등의 추가 정보가 필요할 수 있음
  • Yubico가 취약한 키를 폐기하지 않고 판매하고 있다는 지적이 있음

    • 새로운 펌웨어가 있는 키는 우선적으로 기관 및 "우선 고객"에게 공급됨
  • 고객이 Yubico를 신뢰할 수 있는지에 대한 의문이 제기됨

    • 제조사가 고객 보호를 위해 노력해야 한다는 기대가 있음
    • 취약한 키를 판매하는 것은 신뢰 위반으로 간주됨
  • YubiKey를 분실하면 데이터가 손상될 수 있음

    • 14년 동안 발견되지 않은 취약점이 존재함
    • YubiKey를 분해하지 않고도 비밀을 추출할 수 있는 방법이 있음
  • Yubico가 키를 판매하는 이유는 펌웨어 버전을 명확히 표시하는 것이 비용이 많이 들기 때문임

    • 경쟁자가 등장할 기회로 보임
    • Nitrokey가 좋은 대안으로 제시됨
  • 보안 토큰을 구매할 때, 오픈 펌웨어와 하드웨어를 가진 제품을 선호함

    • 독립적으로 검사된 제품을 원함
    • 펌웨어를 로드하고 업데이트할 수 있는 기능이 있으면 좋음
  • Nitrokey를 추천함

    • 소프트웨어가 GitHub에 공개되어 있음
  • 구형 YubiKey를 할인된 가격에 구매할 의향이 있음

    • 개인의 위협 모델에서는 도난된 키에 대한 저항이 크게 필요하지 않음
  • 고객이 보안 토큰을 선택하는 최종 단계에 있었음

    • YubiKey는 더 이상 옵션이 아님
    • 결함 처리 방식에 실망함
  • Yubico의 키 구매 시 수동 공격적인 판매 이메일을 받을 수 있음