Обнаружена уязвимость в электронном ключе YubiKey Neo

d2daa7f946600ac3fc7870377fa352d9

Реализация OpenPGP в ключе безопасности Yubikey NEO, как сообщает специалист Джои Кастилло, содержит серьёзную ошибку. Данный ключ используется во многих финансовых и банковских структурах, а также для защиты персональных данных и коммерческой тайны предприятий. Новая уязвимость позволяет злоумышленнику, обладающему хотя бы малыми локальными привилегиями, успешно обходить ввод PIN-кода. Ключ безопасности предназначается для генерации одноразовых паролей во всех системах, где присутствует USB-порт. До текущего момента ничего более надёжного в этой области не существовало.

Примечательно, что бюллетень с описанием уязвимости уже появился в официальном блоге разработчиков Yubikey, так что пользователи смогут рассчитывать на скорый выход заплатки. В отчёте указывается, что в исходном коде присутствует серьёзная ошибка, связанная с программной логикой устройства. Поэтому злоумышленник может проникнуть в систему даже в том случае, если введёт неправильный PIN-код на стартовом экране.

Ошибка располагается в первой же строке дешифрования, данный элемент кода отвечает за аутентификацию и проверку цифровой подписи. Брешь затрагивает версию прошивки YubiKey Neo 1.0.9 и более ранние. Разработчики уверяют, что достаточно будет приобрести более свежую версию, где эта уязвимость автоматически устраняется. Там используются несколько иные алгоритмы.

Производитель подчёркивает, что обладающие определёнными навыками злоумышленники смогут обойти YubiKey Neo совсем иными способами, никак не связанными с найденной логической ошибкой. Поэтому не следует воспринимать данное устройство в качестве панацеи и универсального решения на все случаи жизни.

Среди клиентов компании это заявление уже вызвало череду возмущений. Многие пользователи считают, что производитель старается преуменьшить серьёзность бреши, дабы воздержаться от выпуска затратного апдейта. Прямое обновление прошивки на устройствах запрещается, сделано это из соображений безопасности. Однако компания-разработчик уже пообещала заменить устройства всем желающим бесплатно.