NinjaLab, ein Sicherheitsforschungsunternehmen, hat Schwachstellen finden Dies würde es Kriminellen ermöglichen, YubiKeys zu klonen. Wie vom Unternehmen in erklärt SicherheitsberaterNinjaLab entdeckte Schwachstellen in den kryptografischen Bibliotheken, die in der YubiKey-Serie 5 verwendet werden. Konkret entdeckten sie kryptografische Fehler im Mikrocontroller, den die Sicherheitsforscher als etwas beschreiben, das „Geheimnisse generiert/speichert und dann kryptografische Operationen durchführt“ für Sicherheitsgeräte wie Bankkarten und FIDO-Hardware-Token. YubiKey ist der bekannteste FIDO-Authentifizierungsschlüssel und soll Konten sicherer machen, da Benutzer ihn an ihren Computer anschließen müssen, bevor sie sich anmelden können.
Die Forscher erklärten, wie sie die Schwachstelle entdeckten, weil sie eine offene Plattform entdeckten, die auf der kryptografischen Bibliothek von Infineon basiert, die Yubico nutzt. Sie bestätigten, dass alle YubiKey 5-Modelle geklont werden können, und sie sagten auch, dass die Schwachstelle nicht auf diese Marke beschränkt sei, obwohl sie keine anderen Geräte ausprobiert und geklont hätten.
Die Sicherheitslücke blieb offenbar 14 Jahre lang unbemerkt, aber nur weil sie jetzt aufgedeckt ist, heißt das nicht, dass sie jemand ausnutzen kann, um YubiKeys zu klonen. Zunächst müssen böswillige Akteure physischen Zugriff auf die Token haben, die sie kopieren möchten. Dann mussten sie es zerlegen und teure Geräte, einschließlich eines Oszilloskops, verwenden, um „elektromagnetische Seitenkanalmessungen durchzuführen“, die zur Analyse des Tokens erforderlich waren. In der Forschung von Forschern PapierSie sagen, dass die Installationskosten etwa 11.000 US-Dollar betragen und dass die Verwendung eines anspruchsvolleren Oszilloskops die Installationskosten auf 33.000 US-Dollar erhöhen kann. Darüber hinaus benötigen Angreifer möglicherweise immer noch die PIN, das Passwort oder die biometrischen Daten eines Ziels, um auf bestimmte Konten zuzugreifen.
Die Quintessenz ist, dass Benutzer, die zu Regierungsbehörden gehören oder mit sehr, sehr sensiblen Dokumenten umgehen, die sie zum Ziel von Spionage machen könnten, sehr vorsichtig mit ihren Schlüsseln sein sollten. Für normale Benutzer ist es, wie die Forscher in ihrem Artikel schreiben, „immer noch sicherer, einen YubiKey oder ein anderes betroffenes Produkt als FIDO-Hardware-Authentifizierungstoken für die Anmeldung bei Anwendungen zu verwenden, als ihn nicht zu verwenden.“
