摘要：由于U2F的Key Wrapping机制，使得用户可以通过一个U盾对多个平台进行验证，阿里安全猎户座实验室技术专家五达研究发现，即使U盾在使用了Secure Element的情况下，攻击者依然可以在U2F令牌的初始化过程中将主密钥提取，进行克隆，对认证进行破解。

五达

近期，记者在阿里巴巴望京中心见到了阿里安全猎户座实验室的技术专家五达。五达（化名）看起来并不像一个典型的安全技术人员，在以二次元风格的”风口发生器”冷幽默开场后，记者在五达的讲解下了解到目前被普遍使用的U2F认证机制存在漏洞被攻击的巨大风险，而这一风险波及到Google、Facebook、Github、Fastmail等多个应用平台上的用户。

他将U2F机制的漏洞发现写成论文，刚刚被今年的Virus Bulletin蒙特利尔会议选中。Virus Bulletin是一个拥有28年历史的老牌杀毒软件界的会议，被腾讯称为”杀软界的奥林匹克”，吸引了包括赛门铁克、思科在内各大厂商的关注，Virus Bulletin的论文拒稿率高达70%以上。

五达研究发现，即使U盾在使用了Secure Element的情况下，攻击者依然可以在U2F令牌的初始化过程中将主密钥提取，进行克隆，对认证进行破解。而事实上，制造商就完全可能成为这样一个恶意的攻击者，在制造过程中进行一个类似后门的安装。因此，五达表示，U2F的信任等级不应该在Secure Element级别，而应该在制造商级别。五达将这个发现的漏洞以一种安全人员的浪漫取名为U2Fishing——把F的Factor（因子）改成了Fishing（钓鱼攻击）。

多个应用平台对U2F的防克隆计数器缺乏应有的管控

据了解，U2F是双因素认证的一种，从2011年开始，在国外各大平台上，比如Facebook、Gmail、Github，甚至英国政府等都支持其两部认证，投入使用，而Google Chrome浏览器更是原生支持了U2F。由于U2F的Key Wrapping机制，使得用户可以通过一个U盾对多个平台进行验证，原本Key Wrapping被作为解决密码储存限制的解决方法，然而，五达却发现了这个机制中存在的风险。

除了U2F标准本身存在的漏洞，五达发现，应用平台，即Google、Facebook、Github、Fastmail等也对U2F的防克隆计数器缺乏应有的管控。理论上，对于这些验证设备，都会有一个计数器的存在：即每使用一次，计数器就会加一，因此计数器只会增长，不会减少。那么当攻击者获取密钥并且登录时，服务器端的计数器将会增加，但是用户本身的U盾计数器不会增加——那么当用户下一次使用U盾，就会产生计数器的不匹配，从而会产生警告。

然而，五达研究发现，尽管Google有计数器的检测，却依然会对计数器不匹配的认证的行为，没有对用户进行可见的提示，只表现为一次”卡顿”。而一些厂商甚至根本没有对计数器进行检测。五达表示，U2F的问题不仅仅是一个硬件上的问题，平台在应对克隆攻击上也欠缺应有的保护措施。

猎户座实验室：安全建设永远在路上

随着国际上支持FIDO U2F标准的认证的服务提供商越来越多，国内的服务提供商(如电子邮箱、门户网站、银行支付等)预期也将会顺应这一潮流。这项研究工作，在服务商集成U2F认证时，可以作为安全策略上的评估参考。同时，密码学芯片在物联网设备边界节点中的使用，也是物联网未来发展中对安全设计的趋势之一。这项研究工作中对于密码学芯片的分析及研究，也将会为IoT领域中的密码学芯片的安全策略设计及实现上，提供前瞻性的安全风险规避参考。

据记者了解，五达已经和其他阿里巴巴猎户座实验室的专家一起对U2Fishing的攻击模式制作了攻击范例，同时针对检测及缓解提出了改进的建议。在对市面上使用的U2F认证的服务提供商进行了检测后，他们已经向受影响的厂商提交了漏洞检测报告。

“在这个漏洞的发现及应对的过程中，我们针对性地提出了几种行之有效的缓解措施，包括主动用户感知、克隆检测后的安全策略、对密码学计算数据流向进行审计等。密码学令牌侧，虽然可供审计的组件很少，但应当对可信根区域的数据流入流出，进行安全审计，确定其安全模型。云端服务在集成双因素认证时，应该主动对各认证组件进行主动检测，我们也提供了便捷而有效的自查检测手段。”五达表示，从U2F密码学令牌的硬件的设计到制造的整个过程，再到芯片及供应链的分级信任设计，也顺应了阿里安全猎户座实验室在供应链安全(Supply Chain)领域的思考——即使是引入了可信计算模块，信任模型与安全策略的设计及维护仍然需要持续而审慎地执行。

除了此次漏洞的发现，五达还曾经受邀在Black Hat Europe 2015阿姆斯特丹、Black Hat USA 2017拉斯维加斯上代表阿里巴巴集团作安全研究主题演讲，研究成果曾被Forbes福布斯杂志采访，被WIRED连线杂志评选为当年”最佳Hack”之一。研究方向为物联网、可信计算、物理层安全。在阿里集团安全研究工作中，有22项相关专利申请。此外，五达也将在本次”4.29首都网络安全日”系列活动中提前演示及讲解这个研究成果。

“阿里有一句土话叫’今天最高的标准是明天最低的要求’，今天我挖到这个巨大的漏洞，把这个漏洞以及相应的机制修补了，下一次就是跟自己再对抗，要挖出新的漏洞，要超越、挑战自己，就像参加奥林匹克一样，这是很有意思的事情。”五达表示，希望通过阿里安全技术人员的努力，能够让更多人以更低成本去使用互联网，真正做到安全无感知。

阿里安全猎户座实验室负责人、资深专家杭特表示，他们也一直在反思，相对于具体漏洞的挖掘和利用，如何让系统更加安全才是更有挑战的目标，”安全能力建设，是一个由安全理论、设计、工程实现、安全测试、后期运维等多个团队共同努力的结果。如果进行角色换位，我们也未必有自信防守会比外国同行做的更好，提高安全水位是个大挑战，安全建设永远在路上。”

实际上，阿里安全部有诸多像五达一样从事漏洞挖掘工作的技术专家，猎户座实验室就聚集着这样一群安全牛人。据了解，猎户座实验室隶属于阿里巴巴集团安全部安全技术研究团队，是以通用系统平台、软件供应链、终端和设备为研究对象，以提升攻防对抗能力方法论为目标的实验室，目前在智能漏洞挖掘方向可公开的成果包括苹果系统IOS/MAC 越狱漏洞、IoT远程控制漏洞、DoS算法及资源消耗类漏洞，开源基础软件溢出类漏洞共60余例。

据记者了解，猎户座实验室目前实验室共有固定成员十余人，灵活且相互渗透了二进制程序细粒度分析、源代码程序分析、IoT与硬件安全攻防、移动系统底层研究等多个研究方向。其中，二进制程序细粒度分析旨在基于数据流分析的基础能力，形成对二进制程序从最底层指令功能粒度、比特数据粒度的分析引擎，覆盖包括黑灰产、恶意程序分析，漏洞快速定位止血等，目前已实现跨平台、任意对象、任意粒度、任意过程的行为分析和提取。