.
Pesquisadores de segurança detectaram uma vulnerabilidade nos tokens de autenticação de dois fatores YubiKey que permite que invasores clonem o dispositivo de acordo com um novo aviso de segurança. A vulnerabilidade foi descoberta dentro da biblioteca criptográfica Infineon usada pela maioria dos produtos YubiKey, incluindo os dispositivos YubiKey 5, Yubikey Bio, Security Key e YubiHSM 2 series.
O fabricante do YubiKey, Yubico, diz que a gravidade da vulnerabilidade do canal lateral é “moderada”, mas é difícil de explorar, em parte porque os sistemas de dois fatores dependem de algo que o usuário tem e algo que somente ele deveria saber.
“O invasor precisaria de posse física da YubiKey, Security Key ou YubiHSM, conhecimento das contas que deseja atingir e equipamento especializado para executar o ataque necessário”, disse a empresa em seu aviso de segurança. “Dependendo do caso de uso, o invasor também pode exigir conhecimento adicional, incluindo nome de usuário, PIN, senha da conta ou chave de autenticação.” Mas esses não são necessariamente impedimentos para um ataque individual altamente motivado ou patrocinado pelo estado.
Como o firmware YubiKey não pode ser atualizado, todos os dispositivos YubiKey 5 anteriores à versão 5.7 (ou 5.7.2 para a série Bio e 2.4.0 para YubiHSM 2) permanecerão vulneráveis para sempre. Versões de modelos posteriores não são afetadas, pois não usam mais a criptobiblioteca Infineon. A NinjaLab, empresa de segurança que descobriu a vulnerabilidade, estima que ela exista nos principais chips de segurança da Infineon há mais de 14 anos. Os pesquisadores acreditam que outros dispositivos que usam a biblioteca criptográfica Infineon ou os microcontroladores SLE78, Optiga Trust M e Optiga TPM da Infineon também estão em risco.
.
