YubiKeys là một khóa bảo mật phần cứng giúp đơn giản hóa việc xác thực hai yếu tố. Thay vì nhận mã qua tin nhắn hoặc ứng dụng, người dùng chỉ cần chạm vào YubiKey khi đăng nhập vào các tài khoản, ứng dụng hoặc dịch vụ yêu cầu xác thực 2FA. Điều này tạo ra một lớp bảo mật bổ sung ngoài mật khẩu thông thường. Tuy nhiên, các nhà nghiên cứu đã chứng minh rằng thiết bị này không hoàn hảo.
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng mã hóa trong loạt YubiKeys 5 được sử dụng rộng rãi. Lỗ hổng này, được gọi là lỗ hổng kênh bên, khiến thiết bị dễ bị sao chép nếu kẻ tấn công có thể tiếp cận vật lý tạm thời.
Vấn đề này ban đầu được phát hiện bởi công ty an ninh mạng NinjaLab, khi họ phân tích ngược YubiKeys 5 và phát triển một cuộc tấn công sao chép. Họ nhận thấy tất cả các mẫu YubiKey chạy firmware trước phiên bản 5.7 đều dễ bị tổn thương.
Nguyên nhân của vấn đề xuất phát từ một bộ điều khiển vi mô do Infineon sản xuất, được biết đến với tên gọi SLB96xx series TPM. Cụ thể, thư viện mã hóa của Infineon không thực hiện một biện pháp phòng thủ kênh bên quan trọng, được gọi là “thời gian cố định”, trong một số phép toán. Lỗi này cho phép kẻ tấn công phát hiện những biến động nhỏ trong thời gian thực thi, có thể làm lộ chìa khóa bí mật mã hóa của thiết bị. Điều đáng lo ngại hơn nữa là chip cụ thể này còn được sử dụng trong nhiều thiết bị xác thực khác, như thẻ thông minh.
Tuy không phải là tất cả đều đáng lo ngại, Yubico, công ty phát triển YubiKeys, đã phát hành bản cập nhật firmware (phiên bản 5.7) để thay thế thư viện mã hóa Infineon dễ bị tổn thương bằng một giải pháp riêng. Tuy nhiên, điểm bất lợi là các thiết bị YubiKey 5 hiện có không thể được cập nhật firmware mới này, khiến cho tất cả các khóa bị ảnh hưởng vẫn bị tổn thương vĩnh viễn.
Dẫu vậy, những người sở hữu YubiKey không cần phải loại bỏ thiết bị của mình. Cuộc tấn công này yêu cầu nguồn lực đáng kể – khoảng 11.000 đô la cho thiết bị chuyên dụng – cùng với kiến thức cao trong lĩnh vực kỹ thuật điện và mã hóa. Nó cũng đòi hỏi sự hiểu biết về các tài khoản mục tiêu và thông tin nhạy cảm như tên người dùng, mã PIN, mật khẩu tài khoản hoặc khóa xác thực.
“Các kẻ tấn công sẽ cần phải có trong tay YubiKeys, Security Key, hoặc YubiHSM, cũng như kiến thức về các tài khoản mà họ muốn nhắm đến, cùng với trang thiết bị chuyên dụng để thực hiện cuộc tấn công cần thiết,” công ty đã lưu ý trong thông báo bảo mật của mình.
Có thể nói rằng, đây không phải là điều mà hầu hết các tội phạm mạng có thể thực hiện. Các cuộc tấn công có chủ đích từ các quốc gia hoặc nhóm có đủ kinh phí vẫn có khả năng xảy ra, nhưng rất hiếm.
Yubico khuyến nghị tiếp tục sử dụng các thiết bị này, vì chúng vẫn an toàn hơn so với việc chỉ dựa vào mật khẩu. Tuy nhiên, người dùng nên theo dõi các hoạt động xác thực nghi ngờ có thể chỉ ra sự xuất hiện của thiết bị bị sao chép.
Theo Techspot