Phát hiện lỗ hổng mới làm cho một số YubiKey dễ bị nhân bản
Lỗ hổng mới trong YubiKey trước phiên bản 5.7 có thể bị nhân bản nếu kẻ tấn công có thiết bị đặc biệt và kinh nghiệm.
Một lỗ hổng mã hóa đã được phát hiện trong dòng YubiKey 5, khiến thiết bị có thể dễ bị nhân bản nếu kẻ tấn công sở hữu thiết bị chuyên biệt và kiến thức kỹ thuật. Lỗ hổng này được phát hiện bởi NinjaLab khi họ đảo ngược kỹ thuật dòng YubiKey 5 và thực hiện một cuộc tấn công nhân bản.
Vấn đề bắt nguồn từ thư viện mã hóa của con chip SLB96xx series TPM do Infineon sản xuất. Thư viện này thiếu một biện pháp phòng thủ quan trọng gọi là “constant time,” cho phép kẻ tấn công phát hiện thay đổi trong thời gian thực hiện các phép toán, dẫn đến việc tiết lộ các khóa mã hóa bí mật của thiết bị.
Yubico đã phát hành bản cập nhật firmware phiên bản 5.7 để thay thế thư viện mã hóa Infineon bằng một triển khai tùy chỉnh. Tuy nhiên, các thiết bị YubiKey hiện tại không thể cập nhật firmware này, nhưng nguy cơ tấn công là rất thấp và chỉ xảy ra trong trường hợp tấn công được tài trợ bởi nhà nước hoặc các nhóm có tài chính mạnh.