Phát hiện lỗ hổng mới làm cho một số YubiKey dễ bị nhân bản

Lỗ hổng mới trong YubiKey trước phiên bản 5.7 có thể bị nhân bản nếu kẻ tấn công có thiết bị đặc biệt và kinh nghiệm.

: Một lỗ hổng mã hóa trong dòng YubiKey 5 cho phép thiết bị dễ bị nhân bản nếu kẻ tấn công có thiết bị chuyên dụng và kinh nghiệm. Lỗ hổng này được phát hiện bởi NinjaLab và ảnh hưởng đến các phiên bản firmware trước 5.7. Yubico đã phát hành bản cập nhật firmware để khắc phục lỗ hổng này, nhưng các thiết bị YubiKey hiện tại không thể cập nhật. Tuy nhiên, nguy cơ tấn công là rất nhỏ và cần giám sát hoạt động xác thực.

Một lỗ hổng mã hóa đã được phát hiện trong dòng YubiKey 5, khiến thiết bị có thể dễ bị nhân bản nếu kẻ tấn công sở hữu thiết bị chuyên biệt và kiến thức kỹ thuật. Lỗ hổng này được phát hiện bởi NinjaLab khi họ đảo ngược kỹ thuật dòng YubiKey 5 và thực hiện một cuộc tấn công nhân bản.

Vấn đề bắt nguồn từ thư viện mã hóa của con chip SLB96xx series TPM do Infineon sản xuất. Thư viện này thiếu một biện pháp phòng thủ quan trọng gọi là “constant time,” cho phép kẻ tấn công phát hiện thay đổi trong thời gian thực hiện các phép toán, dẫn đến việc tiết lộ các khóa mã hóa bí mật của thiết bị.

Yubico đã phát hành bản cập nhật firmware phiên bản 5.7 để thay thế thư viện mã hóa Infineon bằng một triển khai tùy chỉnh. Tuy nhiên, các thiết bị YubiKey hiện tại không thể cập nhật firmware này, nhưng nguy cơ tấn công là rất thấp và chỉ xảy ra trong trường hợp tấn công được tài trợ bởi nhà nước hoặc các nhóm có tài chính mạnh.