Τα YubiKeys είναι ευάλωτα σε κλωνοποίηση

secnews.gr

IT Security News, Gadgets, Tweaks for Geeks and More

Τα YubiKeys είναι ευάλωτα σε κλωνοποίηση
https://www.secnews.gr/616409/ta-yubikeys-einai-evalwta-se-klwnopoihsh/
Sep 4th 2024, 14:18

Τα chip ασφαλείας της Infineon Technologies έχουν ανακαλυφθεί ότι είναι ευάλωτα σε επιθέσεις πλευρικού καναλιού, με τα YubiKeys, μια δημοφιλή συσκευή ελέγχου ταυτότητας, να είναι ευάλωτα σε κλωνοποίηση.







Αυτή η νέα ευπάθεια επηρεάζει και άλλες κάρτες ασφαλείας που βασίζονται σε μικροελεγκτές, όπως κάρτες SIM και chip διαβατηρίων. Ερευνητές από το NinjaLab δοκίμασαν την επίθεση στο YubiKey 5Ci και αποκάλυψαν ότι το πρόβλημα σχετίζεται με τα Infineon chips, τα οποία παρέμειναν απαρατήρητα για 14 χρόνια.



Δείτε ακόμη: Intel: Ανταγωνίζεται την Qualcomm και την AMD με τη δεύτερη γενιά chip για κινητά Core Ultra



Παρά τη σοβαρότητα της ευπάθειας, η εκμετάλλευσή της απαιτεί φυσική πρόσβαση στη συσκευή και εξειδικευμένο εξοπλισμό. Οι χρήστες του YubiKey θα πρέπει να γνωρίζουν ότι όλα τα μοντέλα με firmware 5.7 ή παλαιότερο είναι ευάλωτα. Στις 6 Μαΐου 2024, η Yubico κυκλοφόρησε μια νέα ενημέρωση firmware που ανανεώνει την βιβλιοθήκη κρυπτογράφησης, ενισχύοντας έτσι την ασφάλεια. Οι ειδικοί προτείνουν να συνεχιστεί η χρήση των YubiKeys για ασφαλείς συνδέσεις.



Το σενάριο της επίθεσης



Τα στοιχεία ασφαλείας Infineon SLE78 είναι ευρέως αναγνωρίσιμα στον τομέα των τραπεζικών και των ID εφαρμογών, προσφέροντας προηγμένα χαρακτηριστικά όπως διπλές κεντρικές μονάδες επεξεργασίας και μονάδες κρυπτογράφησης.



Εάν ένας hacker αποκτήσει πρόσβαση σε μια συσκευή με το επηρεαζόμενο chip, μπορεί να χρησιμοποιήσει έναν ηλεκτρομαγνητικό ανιχνευτή για να παγιδεύσει σήματα κατά τη διάρκεια της διαδικασίας υπογραφής ECFSA. Αυτή η συγκεκριμένη υλοποίηση της Infineon αποκαλύπτει μυστικά κλειδιά λόγω της διαφοράς στον χρόνο ολοκλήρωσης των λειτουργιών.



Η διαδικασία απόκτησης ιχνών από πλευρικό κανάλι μπορεί να διαρκέσει από λίγα λεπτά έως μία ώρα, δίνοντας στον hacker τη δυνατότητα να επανασυσκευάσει τη συσκευή και να την επιστρέψει στον χρήστη, παραμένοντας σε θέση να ανακτήσει τα μυστικά εκτός σύνδεσης αργότερα. Οι ερευνητές εκτιμούν ότι αυτή η διαδικασία μπορεί να αυτοματοποιηθεί, μειώνοντας τον χρόνο εκτός σύνδεσης σε λιγότερο από μία ώρα.







Διαβάστε επίσης: Η υπηρεσία Bonjour ευάλωτη σε επιθέσεις κλιμάκωσης προνομίων



Υπάρχει υποψία ότι η ευπάθεια επηρεάζει όλους τους μικροελεγκτές ασφαλείας Infineon που χρησιμοποιούν την Infineon crypto lib 1, θέτοντας σε κίνδυνο hardware πορτοφόλια κρυπτονομισμάτων, ταυτότητες, διαβατήρια και άλλες ευαίσθητες συσκευές.



Σύμφωνα με το report, η Infineon καταβάλλει προσπάθειες για τη μείωση του κινδύνου.



Πηγή: cybernews



You are receiving this email because you subscribed to this feed at https://blogtrottr.com

If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια