Neizlabojama Yubico divfaktoru autentifikācijas atslēgas ievainojamība apdraud lielāko daļu Yubikey 5, Security Key un YubiHSM 2FA ierīču drošību. Arī Feitian A22 JavaCard ir neaizsargāta. Neaizsargātās 2FA atslēgas pēc iespējas ātrāk ir jānomaina, it īpaši, ja tās tiek izmantotas virtuālas naudas vai slepenas informācijas aizsardzībai.
Minētās Yubico divfaktoru autentifikācijas atslēgas izmanto Infineon SLB96xx sērijas TPM mikroshēmu, tai arī atklāta ievainojamība. NinjaLab pētnieki pavadīja divus gadus, pētot un atšifrējot šo mikroshēmu radio emisijas, lai izveidotu uzbrukumu.
Urķim būtu nepieciešama apmēram stunda ar atrašanos atslēgas tuvumā, lai uztvertu radio emisijas, un pēc tam diena vai divas, lai atšifrētu datus un izveidotu 2FA atslēgas kopiju. NinjaLab iepriekš atklāja līdzīgas ievainojamības citās Google Titan, Feitian, Yubico un NXP drošības atslēgās.
Lietotājiem vajadzētu sazināties ar ierīču ražotājiem, lai noskaidrotu, vai arī citās ierīcēs tiek izmantotas neaizsargātas Infineon SLB96xx sērijas TPM mikroshēmas. Ietekmētās ierīces nevar tikt labotas ar programmatūras ielāpiem, lai novērstu drošības ievainojamību.
Visiem skarto atslēgu īpašniekiem ir nopietni jāapsver pāreja uz alternatīvām, piemēram, tādām 2FA atslēgām kā Feitian vai iShield.
Ja problēma ir atslēgas “pļāpāšana” ēterā, lai ietin folijā.
Ir tak arī ne nfc versijas, kuras vajag piespraust usb un pielikt pirkstu. Nu un protams +nāk pin kods.
Ar NFC tam nav ne mazākā sakara. Un foliju var pataupīt citām lietām, šeit nelīdzēs…
“The attacks require about $11,000 worth of equipment and a sophisticated understanding of electrical and cryptographic engineering. The difficulty of the attack means it would likely be carried out only by nation-states or other entities with comparable resources and then only in highly targeted scenarios. The likelihood of such an attack being used widely in the wild is extremely low. ”
https://arstechnica.com/security/2024/09/yubikeys-are-vulnerable-to-cloning-attacks-thanks-to-newly-discovered-side-channel/
Te drīksr rupji lamāties?
Šis nu būtu tas gadījums, ka varētu izveidot izņēmumu.
Par šo iet runa?
Security Advisory YSA-2024-03 Infineon ECDSA Private Key Recovery
Nu sasodīts.
Nu nav tik traki, kā te rakstīts.
No kurienes šīs vārsmas ir atdzejotas?
LOL
Ābols uzlaužams dažādos veidos ar lētāk/dārgāk iegūstamu softu = totally safe “Un vispār” to tak vasja pupkins nevarēs (c)
2FA atslēgas kurām hakerim jāveic devaisa skenēšana ( dzelži, nauda, u.c. resursi ) , un pēc tam vēl 2 dienas jālauž = uuu, zomg, zomg ..
Uzbrucejam ir janovieto uztverosā antena 1cm attāluma no lietota čipa uz 1 stundu….lietotā nozimē ka lietotājs korekti ievada visus PINus…