广泛使用的双因素验证硬件令牌 YubiKey 5 存在加密漏洞，攻击者短时间物理接触该设备后能对其进行克隆。该加密漏洞被称为侧信道，存在于其使用的一个微控制器中，而该微控制器被大量身份验证设备使用。研究人员确认 YubiKey 5 系列所有型号都能被克隆，不过没有测试其它使用该微控制器的设备。YubiKey 5 使用的微控制器是英飞凌（Infineon）制造的 SLE78，以及后续型号 Optiga Trust M 和 Optiga TPM。研究人员怀疑所有使用这三种微控制器的设备都存在相同的漏洞。5 月释出的 YubiKey 5 v5.7 新固件修复了该漏洞，它使用定制的加密库取代了英飞凌的加密库。但 YubiKey 5 本身是无法更新固件的，这意味着所有运行旧版本固件的 YubiKey 5 将会永久性存在该漏洞。

https://arstechnica.com/security/2024/09/yubikeys-are-vulnerable-to-cloning-attacks-thanks-to-newly-discovered-side-channel/