As YubiKeys mais antigas enfrentam uma vulnerabilidade irremediável de segurança devido a um bug crítico de dois fatores (2FA), tornando possível a clonagem através de um ataque de canal lateral. O alerta de segurança da Yubico informa que as YubiKey 5 e as Security Key Series com firmware anterior ao 5.7 não têm correção possível para esta falha. Entretanto, o risco é considerado baixo para o usuário comum devido à complexidade e custo da execução do ataque, que envolve equipamentos caros e procedimentos demorados. O laboratório Ninja identificou a falha na biblioteca criptográfica da Infineon, que está presente em seus chips ao longo dos últimos 14 anos. A vulnerabilidade afeta dispositivos de autenticação, incluindo o YubiKey 5 e YubiHSM 2. Foi encontrado que esta clonagem leva horas e requer um investimento de cerca de $45.000.
Embora a vulnerabilidade seja séria, o ataque é impraticável para o uso cotidiano, representando um risco mínimo para a maioria dos donos de YubiKey. Ainda assim, indivíduos com informações altamente sensíveis devem considerar a substituição dos dispositivos comprometidos por modelos mais novos ou chaves 2FA de outros fabricantes que não apresentam essa falha.
Um porta-voz da Yubico comentou que o problema foi identificado em dispositivos mais antigos com a biblioteca criptográfica da Infineon. Os novos dispositivos com firmware 5.7, que contêm a própria biblioteca criptográfica da Yubico, não são vulneráveis à falha. Eles ainda enfatizam que o FIDO é o protocolo mais forte e resistente a phishing, recomendando seu uso contínuo.
A empresa começou a vender produtos com firmware 5.7.0 desde maio deste ano e esclarece que, por razões de segurança, o firmware não pode ser atualizado em produtos antigos. Para a substituição, recomenda-se adquirir produtos Yubico com o firmware atualizado ou outros fabricantes de chaves 2FA. Além disso, recomenda-se manter o controle físico sobre as YubiKeys para evitar ameaças e desregistrar as chaves de aplicativos e serviços em caso de perda ou roubo.
Acompanhe o TecMania para mais informações sobre tecnologia.
