GN⁺: 취약한 펌웨어를 가진 구형 재고를 여전히 판매하는 YubiKey
(news.ycombinator.com)- YubiKey가 여전히 EUCLEAK 공격에 취약한 펌웨어를 가진 구형 재고를 판매하고 있음이 보고됨
- Fefe's Blog의 한 독자가 이를 보고함
Hacker News 의견
-
YubiKey의 취약점 발표를 놓쳤으나, 개인의 위협 모델에는 큰 영향을 주지 않음
- 공격자가 YubiKey를 물리적으로 소유하고, 타겟 계정에 대한 지식과 전문 장비가 필요함
- 사용자 이름, PIN, 계정 비밀번호, 인증 키 등의 추가 정보가 필요할 수 있음
-
Yubico가 취약한 키를 폐기하지 않고 판매하고 있다는 지적이 있음
- 새로운 펌웨어가 있는 키는 우선적으로 기관 및 "우선 고객"에게 공급됨
-
고객이 Yubico를 신뢰할 수 있는지에 대한 의문이 제기됨
- 제조사가 고객 보호를 위해 노력해야 한다는 기대가 있음
- 취약한 키를 판매하는 것은 신뢰 위반으로 간주됨
-
YubiKey를 분실하면 데이터가 손상될 수 있음
- 14년 동안 발견되지 않은 취약점이 존재함
- YubiKey를 분해하지 않고도 비밀을 추출할 수 있는 방법이 있음
-
Yubico가 키를 판매하는 이유는 펌웨어 버전을 명확히 표시하는 것이 비용이 많이 들기 때문임
- 경쟁자가 등장할 기회로 보임
- Nitrokey가 좋은 대안으로 제시됨
-
보안 토큰을 구매할 때, 오픈 펌웨어와 하드웨어를 가진 제품을 선호함
- 독립적으로 검사된 제품을 원함
- 펌웨어를 로드하고 업데이트할 수 있는 기능이 있으면 좋음
-
Nitrokey를 추천함
- 소프트웨어가 GitHub에 공개되어 있음
-
구형 YubiKey를 할인된 가격에 구매할 의향이 있음
- 개인의 위협 모델에서는 도난된 키에 대한 저항이 크게 필요하지 않음
-
고객이 보안 토큰을 선택하는 최종 단계에 있었음
- YubiKey는 더 이상 옵션이 아님
- 결함 처리 방식에 실망함
-
Yubico의 키 구매 시 수동 공격적인 판매 이메일을 받을 수 있음