NinjaLab, ein Sicherheitsforschungsunternehmen, hat eine Schwachstelle entdeckt das es böswilligen Akteuren ermöglichen würde, YubiKeys zu klonen. Wie das Unternehmen in einem SicherheitshinweisNinjaLab hat eine Schwachstelle in der kryptografischen Bibliothek der YubiKey 5-Serie gefunden. Insbesondere wurde ein kryptografischer Fehler im Mikrocontroller gefunden, den die Sicherheitsforscher als etwas beschrieben, das „Geheimnisse generiert/speichert und dann kryptografische Operationen ausführt“ für Sicherheitsgeräte wie Bankkarten und FIDO-Hardware-Token. YubiKeys sind die bekanntesten FIDO-Authentifizierungsschlüssel und sollen Konten sicherer machen, da Benutzer sie an ihren Computer anschließen müssen, bevor sie sich anmelden können.
Die Forscher erklärten, dass sie die Schwachstelle entdeckt hätten, weil sie eine offene Plattform auf Basis der kryptografischen Bibliothek von Infineon gefunden hätten, die Yubico verwendet. Sie bestätigten, dass alle YubiKey 5-Modelle geklont werden können, und sagten auch, dass die Schwachstelle nicht auf die Marke beschränkt sei, obwohl sie noch keine Versuche unternommen hätten, andere Geräte zu klonen.
Diese Schwachstelle ist offenbar 14 Jahre lang unbemerkt geblieben, aber nur weil sie jetzt ans Licht gekommen ist, heißt das noch lange nicht, dass sie jeder ausnutzen kann, um YubiKeys zu klonen. Zunächst einmal müssen Angreifer physischen Zugriff auf das Token haben, das sie kopieren möchten. Dann müssen sie es auseinandernehmen und teure Geräte, darunter ein Oszilloskop, verwenden, um „elektromagnetische Seitenkanalmessungen“ durchzuführen, die zur Analyse des Tokens erforderlich sind. In der Studie der Forscher PapierSie gaben an, dass ihr Setup sie rund 11.000 US-Dollar gekostet habe und dass der Einsatz modernerer Oszilloskope die Kosten des Setups auf 33.000 US-Dollar erhöhen könne. Darüber hinaus könnten Angreifer immer noch die PINs, Passwörter oder biometrischen Daten ihres Ziels benötigen, um auf bestimmte Konten zugreifen zu können.
Unterm Strich bedeutet das, dass Benutzer von Regierungsbehörden oder Personen, die mit sehr, sehr sensiblen Dokumenten umgehen, die sie zu Spionagezielen machen könnten, sehr vorsichtig mit ihren Schlüsseln sein müssen. Für normale Benutzer, so die Forscher in ihrem Artikel, „ist es immer noch sicherer, YubiKey oder andere betroffene Produkte als FIDO-Hardware-Authentifizierungstoken zu verwenden, um sich bei Anwendungen anzumelden, als keinen zu verwenden.“
