Logotyp serwisu CyberDefence24
Reklama

Cyberbezpieczeństwo

Klucze YubiKey podatne na klonowanie. Badacze wykryli lukę

YubiKey - podatność
Podatność szczegółowo opisali w raporcie badacze NinjaLab
Autor. Andy Kennedy / Unspash

YubiKey 5, najpopularniejszy sprzętowy token do uwierzytelniania dwuskładnikowego zawiera lukę. Umożliwia ona sklonowanie urządzenia, gdy atakujący uzyska do niego dostęp fizyczny.

Podatność szczegółowo opisali w raporcie badacze NinjaLab i nawali ją „EUCLEAK”. Luka występuje w zabezpieczeniach biblioteki kryptograficznej Infineon Technologies.

Czytaj też

Reklama

Podatność EUCLEAK

Chodzi konkretnie o side channel biblioteki i użyty tam algorytm ECDSA (ang. Elliptic Curve Digital Signature Algorithm, pl. algorytm krzywych eliptycznych).

ECDSA jest powszechnie używane w standardzie uwierzytelniania FIDO (Fast Identity Online). Atak typu side-channel na ECDSA pozwolił badaczom na wydobycie prywatnego klucza urządzenia.

Luka odkryta przez NinjaLab pozostawała niezauważona przez 14 lat.

Czytaj też

Reklama

YubiKey z ostrzeżeniem

Producent YubiKey wydał ostrzeżenie dotyczące podatności. „Atakujący może wykorzystać ten problem jako część wyrafinowanego i ukierunkowanego ataku w celu odzyskania dotkniętych nim kluczy prywatnych” - napisano.

Aby atak się udał, oszust musi fizycznie posiadać klucz i znać konta, które chce zaatakować, a także mieć dostęp do specjalistycznego sprzętu. W niektórych przypadkach może też potrzebować dodatkowych informacji, w tym nazwy użytkownika, kodu PIN czy hasła do konta.

Czytaj też

Reklama

Podatne urządzenia

Luka występuję w następujących kluczach:

  • YubiKey 5 Series – wersje wcześniejsze niż 5.7
  • YubiKey 5 FIPS Series – wersje do 5.7
  • YubiKey 5 CSPN Series - wersje do 5.7
  • YubiKey Bio Series v- wersje do 5.7.2
  • Security Key Series - wersje do 5.7
  • YubiHSM 2 - wersje do 2.4.0
  • YubiHSM 2 FIPS - wersje do 2.4.0

Aby sprawdzić, jakiego typu mamy urządzenie, można skorzystać z aplikacji Yubico Authenticator, udostępnionej przez firmę.

Luka obejmuje również inne produkty wykorzystujące bibliotekę kryptograficzną Infineon, w tym niektóre moduły Trusted Platform Module (TPM) i krytyczne systemy, takie jak paszporty elektroniczne czy portfele kryptowalut.

Czytaj też

Biblioteka Infineon usunięta

Firma Yubico zapewnia, że usunęła „zależność od biblioteki kryptograficznej Infineon na rzecz własnej biblioteki kryptograficznej Yubico”.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Komentarze

    Reklama

    Czytaj także

    Co wiedzą o nas samochody? Jakie dane zbierają?
    #CyberMagazyn: Samochód jak „wielki jeżdżący dysk”. Co wiedzą o nas nasze pojazdy?
    #CyberMagazyn: Łączność i bezpieczeństwo w transporcie kolejowym. Opinia byłego maszynisty
    Paszporty, prawa jazdy i numery ubezpieczenia społecznego wyciekły do sieci
    Atak na amerykańską agencję rekrutacyjną. Wyciek wielu dokumentów
    Jak rozwijać kompetencje cyfrowe od najmłodszych lat?
    Kompetencje przyszłości. Oczywiste cele, ale wciąż sporo do zrobienia
    Dlaczego transparentność jest tak ważna w świecie cyberbezpieczeństwa?
    Cyberbezpieczeństwo: odpowiedzialna i przejrzysta komunikacja to podstawa
    Ewolucja malware na telefony. Oszust przechwyci połączenie i wyłudzi dane
    hyundai kia samsung
    Samsung strategicznym partnerem marek Kia i Hyundai Motor
    Od nowych technologii do cyberbezpieczeństwa. O czym „nie możemy zapominać”?