Home Técnica La vulnerabilidad de YubiKey permitirá a los atacantes clonar dispositivos de autenticación

La vulnerabilidad de YubiKey permitirá a los atacantes clonar dispositivos de autenticación

6
0


NinjaLab, una empresa de investigación de seguridad, descubrió una vulnerabilidad Esto permitiría a actores maliciosos clonar YubiKeys. Como explicó la empresa en un Consultoría de seguridadNinjaLab ha descubierto una vulnerabilidad en la biblioteca criptográfica utilizada en la serie YubiKey 5. En concreto, ha encontrado un fallo criptográfico en el microcontrolador, que los investigadores de seguridad han descrito como algo que “genera/almacena secretos y luego realiza operaciones criptográficas” para dispositivos de seguridad como tarjetas bancarias y tokens de hardware FIDO. Las YubiKeys son las claves de autenticación FIDO más conocidas y se suponía que harían que las cuentas fueran más seguras, ya que los usuarios tendrían que conectarlas a sus ordenadores antes de poder iniciar sesión.

Los investigadores explicaron que descubrieron la vulnerabilidad porque encontraron una plataforma abierta basada en la biblioteca criptográfica de Infineon, que utiliza Yubico. Confirmaron que todos los modelos de YubiKey 5 pueden clonarse y también dijeron que la vulnerabilidad no se limita a la marca, aunque aún no han intentado clonar otros dispositivos.

Esta vulnerabilidad aparentemente pasó desapercibida durante 14 años, pero el hecho de que ahora haya salido a la luz no significa que cualquiera pueda explotarla para clonar YubiKeys. Para empezar, los actores maliciosos deberán tener acceso físico al token que desean copiar. Luego deberán desmontarlo y utilizar un equipo costoso, incluido un osciloscopio, para “realizar mediciones electromagnéticas de canal lateral” necesarias para analizar el token. En casa de los investigadores papelDijeron que su instalación costó alrededor de 11.000 dólares y que el uso de dispositivos más avanzados podría aumentar el costo de instalación a 33.000 dólares. Además, los atacantes aún podrían necesitar los PIN, las contraseñas o los datos biométricos del objetivo para acceder a cuentas específicas.

En definitiva, los usuarios que forman parte de agencias gubernamentales o cualquier persona que maneje documentos altamente sensibles que podrían convertirlos en objetivos de espionaje tendrían que tener mucho cuidado con sus claves. Para los usuarios normales, como escribieron los investigadores en su artículo, “sigue siendo más seguro utilizar YubiKey u otros productos afectados como token de autenticación de hardware FIDO para iniciar sesión en aplicaciones, en lugar de no utilizar ninguno”.

Enlace de origen