Брешь в YubiKey Neo позволяет обойти ввод PIN-кода

image

Теги: брешь, YubiKey Neo, PIN-код

Ошибка позволяет атакующему с локальными привилегиями осуществить операции с ключом без знания PIN-кода.  

Исследователь безопасности Джои Кастилло (Joey Castillo) обнаружил  брешь  в реализации OpenPGP в Yubikey NEO – популярном электронном ключе, предназначенном для генерирования одноразовых паролей на любых системах, где есть USB-порт.

Как  указывается  в бюллетене безопасности производителя, исходный код содержит логическую ошибку, связанную с проверкой PIN-кода пользователя. Ошибка позволяет атакующему с локальными привилегиями осуществить операции с ключом без знания PIN-кода.

По словам Кастилло, ошибка содержится в первой строке функций дешифрования, обработки цифровых подписей и внутренней аутентификации. Целью каждого из этих методов является подтверждение валидности PIN-кода и установка соответствующего режима (режим 81 для цифровой подписи, режим 82 – для всего остального).

Брешь затрагивает версии YubiKey Neo 1.0.9 и ниже. Тем не менее, несмотря на наличие уязвимости, компания Yubico заверила пользователей, что «необходимости в обновлении уже существующих продуктов нет». По мнению производителя, если злоумышленник с определенными навыками задумает осуществить атаку, он сможет это сделать вне зависимости от наличия логической ошибки.

Это заявление  вызвало  немалое возмущение среди клиентов компании. По мнению пользователей, производитель пытается преуменьшить серьезность проблемы и избежать необходимости выпуска обновлений. Как утверждает один из пользователей форума Yubico, выступающий под псевдонимом zviratko, «апплет абсолютно бесполезен, если любой, имеющий физический доступ к токену, может подписаться вместо меня».

Обновление прошивки на устройствах YubiKey Neo запрещено из соображений безопасности, однако компания обещает заменить уязвимые девайсы всем желающим. Также Yubico выпустила исправленную версию YubiKey Neo 1.0.10.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.