A falha criptográfica, conhecida como canal lateral, reside em um microcontrolador que é usado em uma grande quantidade de outros dispositivos de autenticação, incluindo cartões inteligentes usados em bancos, passaportes eletrônicos e acesso a áreas seguras. Enquanto os pesquisadores confirmaram que todos os modelos da série YubiKey 5 podem ser clonados, eles não testaram outros dispositivos que usam o microcontrolador, que é o SLE78 fabricado pela Infineon, e microcontroladores sucessores conhecidos como Infineon Optiga Trust M e Infineon Optiga TPM. Os pesquisadores suspeitam que qualquer dispositivo que utilize um desses três microcontroladores e a biblioteca criptográfica da Infineon contenha a mesma vulnerabilidade.
Correção não é possível
A Yubico, fabricante da YubiKey, emitiu um aviso em coordenação com um relatório detalhado de divulgação da NinjaLab, a empresa de segurança que fez engenharia reversa da série YubiKey 5 e desenvolveu o ataque de clonagem. Todas as YubiKeys que executam firmware anterior à versão 5.7 – que foi lançada em maio e substitui a criptobiblioteca da Infineon por uma personalizada – são vulneráveis. Atualizar o firmware da chave na YubiKey não é possível. Isso deixa todas as YubiKeys afetadas permanentemente vulneráveis.
Redação Confraria Tech
Referências:
YubiKeys are vulnerable to cloning attacks thanks to newly discovered side channel
