Byla objevena zranitelnost v kryptografické knihovně společnosti Infineon, která se používá v zařízeních YubiKey řady 5 a Security Key Series s firmwarem před verzí 5.7.0 a YubiHSM 2 s firmwarem před verzí 2.4.0. Společnost Yubico potvrdila dopad na její bezpečnostní tokeny, závažnost ohodnotila stupněm střední.
Útočník by mohl chybu zneužít v rámci sofistikovaného a cíleného útoku k získání soukromých klíčů typu ECDSA. Musel by mít ale YubiKey fyzicky u sebe, znát uživatelské účty a mít specializované vybavení k provedení potřebného útoku. Podle situace může útočník potřebovat také další znalosti včetně uživatelského jména, kódu PIN, hesla k účtu nebo ověřovacího klíče.
Zranitelnost má dopad především na použití standardu FIDO, protože ten se ve výchozím nastavení spoléhá na postiženou funkci. V závislosti na konfiguraci a volbě algoritmu koncovým uživatelem mohou být ovlivněny také aplikace YubiKey PIV a OpenPGP a použití YubiHSM 2.
Společnost Yubico na problém reagovala tím, že knihovnu ze svého softwarového řetězce odstranila a nahradila ji vlastním řešením. Všechny detaily naleznete ve zprávě zveřejněné objevitelů útoku, kteří jej nazvali EUCLEAK.
Postiženy nejsou jen tokeny od Yubico, ale všechny čipy využívající zmíněnou zranitelnou knihovnu. Autoři tvrdí, že se nachází například také v elektronických pasech USA, Číny, Indie, Brazílie a mnoha evropských a asijských zemí. Kromě toho také v telefonech Samsung a OnePlus, hardwarových peněženkách Ledger a Trezor, SIM kartách a čipech TPM v noteboocích Lenovo, Dell a HP.
Píše Root.cz.
PŘEDPLATNÉ
ČLÁNKY DO MAILU