Saugumo tyrimų bendrovė „NinjaLab“ turi atrado pažeidžiamumą tai leistų blogiems aktoriams klonuoti YubiKeys. Kaip bendrovė paaiškino a saugumo patarimai„NinjaLab“ aptiko pažeidžiamumą kriptografinėje bibliotekoje, naudojamoje YubiKey 5 serija. Visų pirma, ji aptiko kriptografinį mikrovaldiklio trūkumą, kurį saugumo tyrinėtojai apibūdino kaip kažką, kas „generuoja / saugo paslaptis ir tada atlieka kriptografines operacijas“ saugos įrenginiams, pvz., banko kortelėms ir FIDO aparatūros žetonams. „YubiKeys“ yra labiausiai žinomi FIDO autentifikavimo raktai ir jie turėtų padaryti paskyras saugesnes, nes vartotojai turės juos prijungti prie savo kompiuterių, kad galėtų prisijungti.
Tyrėjai paaiškino, kaip jie atrado pažeidžiamumą, nes rado atvirą platformą, pagrįstą „Infineon“ kriptografine biblioteka, kurią naudoja „Yubico“. Jie patvirtino, kad visus „YubiKey 5“ modelius galima klonuoti, taip pat teigė, kad pažeidžiamumas neapsiriboja prekės ženklu, nors jie dar nebandė klonuoti kitų įrenginių.
Šis pažeidžiamumas, matyt, buvo nepastebėtas 14 metų, tačiau vien todėl, kad jis dabar išaiškėjo, dar nereiškia, kad kas nors gali juo pasinaudoti klonuodamas YubiKeys. Pirmiausia blogi aktoriai turės turėti fizinę prieigą prie žetono, kurį jie nori nukopijuoti. Tada jie turi jį išardyti ir naudoti brangią įrangą, įskaitant osciloskopą, kad „atliktų elektromagnetinius šoninio kanalo matavimus“, reikalingus žetonui analizuoti. tyrėjų popieriusjie teigė, kad jų sąranka jiems kainavo apie 11 000 USD, o naudojant pažangesnius osciloskopus sąrankos kaina gali padidėti iki 33 000 USD. Be to, užpuolikams gali prireikti tikslinio asmens PIN kodų, slaptažodžių ar biometrinių duomenų, kad jie galėtų pasiekti konkrečias paskyras.
Esmė ta, kad naudotojai, priklausantys vyriausybinėms agentūroms arba bet kas, tvarkantys labai labai slaptus dokumentus, dėl kurių jie gali tapti šnipinėjimo taikiniais, turėtų būti labai atsargūs su savo raktais. Paprastiems vartotojams, kaip savo darbe rašė tyrėjai, „vis tiek saugiau naudoti YubiKey ar kitus paveiktus produktus kaip FIDO aparatinės įrangos autentifikavimo prieigos raktą, norint prisijungti prie programų, o ne jo nenaudoti“.
