В ключах шифрования Google Titan и YubiKey обнаружена серьезная уязвимость
Уязвимость в микросхемах аппаратных ключей шифрования Google Titan и YubiKey выявлена французскими исследователями безопасности из NinjaLab Виктором Ломном и Томасом Рошем, 8 января сообщает американский портал новостей об информационных технологиях ZDNet.
Уязвимость позволяет злоумышленникам восстановить первичный ключ шифрования (алгоритм ECDSA), используемый аппаратным ключом безопасности для создания криптографических токенов для последующих операций двухфакторной аутентификации (2FA).
Согласно отчету исследователей, многократный запрос аутентификационного токена позволяет злоумышленнику получить и скопировать ключи с Titan, YubiKey и ряда подобных аппаратных устройств.
Уязвимость получила код CVE-2021-3011. Она не получила критический статус, поскольку может быть выполнена только локально. В принципе, отмечают исследователи, ключ может быть похищен на несколько часов (именно столько надо для получения первичного ключа) и скопирован, но возможность атаки по сети была бы куда опаснее.
Кроме того, чтобы выполнить атаку, нужно открыть корпус устройства, а сделать это, совсем не повреждая пластик, достаточно сложно. Исследователи рекомендовали использовать ключи безопасности, которые не подвержены обнаруженной уязвимости.
- Список уязвимых устройств:
- Все версии Google Titan.
- Yubico Yubikey Neo
- Feitian FIDO NFC USB-A / K9
- Feitian MultiPass FIDO / K13
- Feitian ePass FIDO USB-C / K21
- Feitian FIDO NFC USB-C / K40
- Кроме того, множество устройств на базе чипов NXP JavaCard:
J3A081, J2A081, J3A041, J3D145_M59, J2D145_M59, J3D120_M60, J3D082_M60, J2D120_M60, J2D082_M60, J3D081_M59, J2D081_M59, J3D081_M61, J2D081_M61, J3D081_M59_DF, J3D081_M61_DF, J3E081_M64, J3E081_M66, J2E081_M64, J3E041_M66, J3E016_M66, J3E016_M64, J3E041_M64, J3E145_M64, J3E120_M65, J3E082_M65, J2E145_M64, J2E120_M65, J2E082_M65, J3E081_M64_DF, J3E081_M66_DF, J3E041_M66_DF, J3E016_M66_DF, J3E041_M64_DF и J3E016_M64_DF.