Manapság szerencsére egyre többen használnak kétfaktoros hitelesítést az egyes felhasználói fiókokba történő bejelentkezés alkalmával, amelynek köszönhetően növelhető a biztonság szintje. A kétfaktoros hitelesítés többféle módon történhet: használhatunk okostelefonos hitelesítő alkalmazást, SMS alapú hitelesítést, de akár dedikált hardveres kulcsot is, például egy YubiKey 5-ös megoldást, amiről korábban részletes írást is közöltünk.

Nemrégiben sajnos fény derült rá, hogy gond van az Infineon SLB96xx sorozatú TPM chipnél használt kriptográfiai könyvtárral, márpedig az 5.7-esnél régebbi firmware-t használó YubiKey 5-ös biztonsági kulcsok erre támaszkodnak. Mivel a firmware biztonsági okokból utólag nem módosítható, a régebbi firmware köré épülő termékek örökre sebezhetőek maradnak, nincs mód a javításukra, de azért nem kell kétségbe esnie egyetlen YubiKey 5 tulajdonosnak sem, hiszen a sebezhetőség kiaknázása irreálisan nagy erőfeszítést igényel.

A hibára úgy derült fény, hogy a NinjaLabs biztonságtechnikai kutatói megvizsgálták a YubiKey 5-ös sorozat egyes tagjait, ugyanis ezek a biztonsági kulcsok széles körben elterjedtek, egyszerűen és kényelmesen használhatóak, a FIDO protokoll jóvoltából pedig kellően biztonságosak is. A sebezhetőséget az okozza, hogy az Infineon által használt kriptográfiai könyvtár hibája miatt a támadók számára lehetőség nyílik a biztonsági kulcs klónozására. Az összes olyan biztonsági eszköz, ami az Infineon SLB96xx sorozatú TPM chipjét használja, sebezhető, a könyvtár verziójától függetlenül, ami azt jelenti, az elmúlt 14 év összes ilyen eszköze potenciális veszélyt hordoz magában.

A sebezhetőség kiaknázása szerencsére rendkívül komplex és költséges folyamat, ami azzal indul, hogy meg kell szerezni a célszemély YubiKey 5 sorozatú biztonsági kulcsát, méghozzá 1 napra. Amennyiben ez megvan, fel kell nyitni a kulcsot, majd egy speciális felszerelés segítségével úgynevezett oldalcsatorna-támadás keretén belül klónozni kell a kulcsot, ez elektromágneses impulzusok olvasásával zajlik, és elég hosszadalmas folyamat, ugyanis 1 napig tart. A feladathoz szükséges felszerelés alapvetően 45 000 dollárt kóstál, de a kutatók szerint alternatív módszerekkel akár 11 000 dollárra is leszorítható a költségoldal némi kreativitással. A feladat végén össze kell szerelni a kulcsot és észrevétlenül vissza kell juttatni a célszemélyhez, aki remélhetőleg semmit sem vett észre a folyamatból és a kulcs eltűnése sem keltett gyanút benne.

A folyamat komplexitása miatt eléggé csekély az esély arra, hogy kiberbűnözők ilyen módszerrel jutnak érzékeny adatokhoz, de van az a szint, ahol lehet értelme az efféle támadásoknak is, már amennyiben a feltételezett nyereség mértéke elég nagy. Éppen ezért érdemes néhány óvintézkedést tenni a biztonság fokozása érdekében. A Yubico szakemberei szerint mindenképpen vigyázni kell a biztonsági kulcsra, nem szabad lehetőséget adni az ellopására, ám ha mégis elveszne, érdemes azonnal letiltani az érintett alkalmazásokon és szolgáltatásokon belül. Érdemes pótkulcsot is tartani, pont az ilyen esetek miatt, ekkor ugyanis az ellopott kulcs letiltását követően a tartalék kulccsal továbbra is biztonságosan használhatóak az egyes szolgáltatások.

A YubiKey 5-ös sorozat mellett az alábbi termékek is érintettek:

A Yubico a hibára már reagált, az újabb YubiKey 5-ös biztonsági kulcsok már friss firmware-t tartalmaznak, ami az 5.7-es vagy újabb verziószámot viseli. Ez a szoftver nem az Infineon kriptográfiai könyvtárát alkalmazza, hanem a Yubico saját megoldását, ami mentes az említett sebezhetőségtől. Az új YubiKey 5-ös kulcsokat idén május óta lehet elérni kereskedelmi forgalomban. Átlagfelhasználói szinten nincs szükség a kulcsok azonnali cseréjére, hiszen a sebezhetőség kiaknázása eléggé körülményes és drága móka, de azokon a területeken, ahol extrém kényes adatokkal kell dolgozni nap mint nap, érdemes lehet az érintett kulcsok regisztrációját törölni, és helyettük olyan termékeket beszerezni, amelyek már az új firmware-t használják – 5.7-es vagy frissebb verziószámút.