Birçok YubiKey iki faktörlü kimlik doğrulama cihazını etkileyen kritik bir güvenlik açığı keşfedildi ve görünürde bir yama olmadan güvenlikleri bozuldu. Yubico’nun güvenlik uyarısı Yubikey 5 ve 5.7’den önceki Güvenlik Anahtarı Serisinin yüksek seviyeli bir klonlama saldırısına karşı her zaman savunmasız olduğunu doğruladı. Ancak, ortalama kullanıcı bu güvenlik açığı konusunda çok fazla endişelenmemelidir.
Yubikey 5 serisi, YubiHSM 2 ve Yubico ve Infineon SLB96xx serisi TPM çipini kullanan diğer satıcıların diğer iki faktörlü kimlik doğrulama ürünleri yeni bulunan saldırıya karşı savunmasızdır. NinjaLab Yubikey 5 ürünlerini test etti — en yaygın FIDO kimlik doğrulama araçları oldukları için — ve Infineon’un kütüphanesindeki bir sorunun kötü niyetli kişilerin anahtarları klonlamasına izin verdiğini buldu. 14 yıl öncesine dayanan, kriptografik kütüphanesinin herhangi bir sürümünü çalıştıran tüm Infineon çipleri aynı saldırıya karşı savunmasızdır.
Yubikeys gibi fiziksel iki faktörlü kimlik doğrulama FIDO cihazları, güvenli bilgisayarlara, web sitelerine veya uygulamalara giriş yaparken bir kimlik doğrulama uygulaması kullanmaya kıyasla zamandan tasarruf etmek isteyen kullanıcılar için son derece değerli kolaylıklardır. Potansiyel kullanıcılar arasında hassas sırları olan devlet çalışanlarından, saklayacak hiçbir şeyi olmayan ancak bilgisayarlarını bir anahtarla açmanın havalı olduğunu düşünenlere kadar her şey yer alır.
Bu klonlama saldırısı, herhangi bir 2FA aracı için ciddi bir zayıflıktır, ancak bunu gerçekleştirmek için gereken malzemeler zayıflığı çoğu tüketici için sorun olmaktan çıkarır. Saldırı ilk önce kötü niyetli kişilerin anahtarı ele geçirmesini gerektirir, bu noktada anahtar zaten tamamen tehlikeye atılmış olur. Ardından, anahtar açıldıktan sonra, Yubikey cihazının elektromanyetik yan kanal ölçümlerini okumak için 45.000 dolarlık bir kuruluma bağlanması gerekir (araştırmacılar 11.000 dolarlık bir kurulumun da gayet iyi çalışacağına inanıyor). Bu işlem EM emisyonlarını yakalamak için bir saat, ardından anahtarı klonlamak için bir gün sürer. Artık Infineon çipi başarıyla ihlal edildiğine göre, anahtar klonlanabilir ve orijinal yeniden birleştirilebilir ve gizlice sahibine iade edilebilir.
Saldırıyı gerçekleştirmek için gereken adımların karmaşıklığı, Yubikey sahiplerinin çoğu için gerçek dünya riskini sıfıra yakın hale getiriyor. Ancak, hükümet çalışanları, gazeteciler veya sağlık çalışanları gibi son derece hassas bilgilere sahip olanlar, etkilenen donanımı güvenlik açığı olmayan daha yeni donanımlarla değiştirmeyi düşünebilir. Yubico’dan yorum istediğimizde, bir şirket sözcüsü şunları söyledi:
“Bu sorun, Yubico cihazlarının eski sürümlerinde kullanılan Infineon’un şifreleme kütüphanesinde keşfedildi. Yubico.com’da şu anda satın alınabilen Yubico’nun en son YubiKey 5 Serisi ve Güvenlik Anahtarı Serisi donanım güvenlik anahtarları 5.7 aygıt yazılımını içerir. 5.7 aygıt yazılımı Yubico’nun kendi şifreleme kütüphanesini içerir ve bu yeni cihazlar Infineon’un güvenlik açığından etkilenmez.
FIDO en güçlü, kimlik avına karşı dirençli protokoldür. Yubico (ve raporlarındaki araştırmacılar) OTP veya SMS gibi daha zayıf kimlik doğrulama yöntemleri yerine FIDO kimlik doğrulayıcılarının kullanılmaya devam edilmesini şiddetle tavsiye ediyor.
Yerel ve fiziksel tehditlerden kaçınmaya yardımcı olmak için kullanıcılar YubiKey’lerinin fiziksel kontrolünü sürdürmek için önlemler almaya devam etmelidir. Bir YubiKey’in kaybolması veya çalınması durumunda kullanıcılar her zaman anahtarları ilişkili uygulamalar ve hizmetlerle derhal kayıttan çıkarmalıdır. Bu ayrıca birincil ve yedek anahtara sahip olma konusunda önerilen en iyi uygulamayı da destekler.“
Yubico, bu yılın Mayıs ayından bu yana 5.7.0 ve daha yeni aygıt yazılımına sahip ürünler satıyor. Güvenlik nedenleriyle, aygıt yazılımı eski ürünlere geriye dönük olarak güncellenemez, bu nedenle etkilenen ürünleri değiştirmek isteyenler, 5.7.0 veya daha yeni aygıt yazılımına sahip Yubico ürünlerine veya diğer 2FA anahtar üreticilerine bakmalıdır.