Güvenlik araştırmacıları, YubiKey 5’te, kendini işine adamış ve becerikli bir bilgisayar korsanının cihazı klonlamasına olanak verecek bir güvenlik açığı keşfettiler. ilk olarak kim tarafından görüldü Ars Technica’ya göre güvenlik açığı, cihazların mikrodenetleyicisinde bulunan bir kriptografik kusurdan, yani yan kanaldan kaynaklanıyor.
Milyonlarca insan hassas hesapları kilitli tutmak için çok faktörlü kimlik doğrulama sisteminin bir parçası olarak YubiKey’leri kullanıyor. Buradaki amaç, banka hesabınıza veya kurumsal sunucularınıza girmeye çalışan birinin içeri girmek için anahtara fiziksel erişime ihtiyaç duyacağıdır. Bir parolanın kimlik avı yapması nispeten kolaydır, ancak YubiKey gibi fiziksel bir cihaz girişi neredeyse imkansız hale getirir.
YubiKey’ler FIDO donanımlarıdır, yani Eliptik Eğri Dijital İmza Algoritması (ECDSA) adı verilen standartlaştırılmış bir şifreleme sistemi kullanırlar. NinjaLab, ECDSA’yı köklendirdi, şifreleme kütüphanesinin bir kısmını tersine mühendislikle geliştirdi ve yan kanal saldırısını tasarladı.
Yeni güvenlik açığı, çok fazla zamanları, beyinleri ve paraları olması koşuluyla bunu mümkün kılıyor. Yubico açığı ifşa etti web sitesinde ayrıntılı bir raporla birlikte NinjaLab’daki güvenlik araştırmacıları.
“Bir saldırgan, etkilenen özel anahtarları kurtarmak için karmaşık ve hedefli bir saldırının parçası olarak bu sorunu istismar edebilir. Saldırganın YubiKey, Güvenlik Anahtarı veya YubiHSM’nin fiziksel mülkiyetine, hedeflemek istediği hesaplar hakkında bilgiye ve gerekli saldırıyı gerçekleştirmek için özel ekipmana ihtiyacı olacaktır,” Yubico sitesinde açıklanmıştır“Kullanım durumuna bağlı olarak saldırganın kullanıcı adı, PIN, hesap parolası veya kimlik doğrulama anahtarı gibi ek bilgilere de ihtiyacı olabilir.”
NinjaLab’a göre, güvenlik açığı 5.7 veya daha düşük bir aygıt yazılımı kullanan tüm YubiKey 5’leri ve “Infineon kriptografik güvenlik kütüphanesini çalıştıran tüm Infineon güvenlik mikrodenetleyicilerini” etkiliyor. NinjaLab bir anahtarı parçaladı, bir osiloskopa bağladı ve kimlik doğrulaması sırasında anahtar tarafından yayılan elektromanyetik radyasyondaki küçük dalgalanmaları ölçtü.
Yani bu anahtarlardan biriyle korunan bir şeye erişmek isteyen herhangi birinin ona erişmesi, onu parçalaması ve anahtarı kopyalamak için gelişmiş bilgi ve ekipman kullanması gerekir. Daha sonra, keşfedilmek istemediklerini varsayarak, orijinal anahtarı tekrar bir araya getirip sahibine iade etmeleri gerekir.
“Bu kurulumun maliyetinin yaklaşık olarak şu kadar olduğunu unutmayın: [$10,000]”” dedi NinjaLab. Daha gösterişli bir osiloskop kullanmak tüm operasyonun maliyetini 30.000$ daha artırabilir.
NinjaLab, bu güvenlik açığının YubiKey 5 ile aynı mikrodenetleyiciyi kullanan diğer sistemlere de uzanabileceğini ancak henüz bunları test etmediğini belirtti. “Bu güvenlik mikrodenetleyicileri, elektronik pasaportlar ve kripto para donanım cüzdanları gibi ECDSA’ya dayanan çok çeşitli güvenli sistemlerde mevcuttur, ancak akıllı arabalar veya evler de vardır,” dedi. “Ancak, EUCLEAK saldırısının bu ürünlerden herhangi birine uygulanıp uygulanmadığını (henüz) kontrol etmedik.”
NinjaLab, araştırmasında bu güvenlik açığından yararlanmanın olağanüstü kaynaklar gerektirdiğini defalarca vurguladı. “Bu nedenle, burada sunulan çalışma açısından, uygulamalarda oturum açmak için YubiKey’inizi veya etkilenen diğer ürünleri FIDO donanım kimlik doğrulama belirteci olarak kullanmak, kullanmamaktan daha güvenlidir,” dedi.