Замечена уязвимость YubiKey Neo
Компьютеры и софт

Замечена уязвимость YubiKey Neo

Реализация OpenPGP в ключе безопасности Yubikey NEO, как сообщает эксперт Джои Кастилло, содержит опасную ошибку. Этот ключ нужен во многих финансовых и банковских организациях, а также для защиты важной информации разных организаций. Новая уязвимость даёт хакеру, обладающему небольшими локальными привилегиями, быстро обойти ввод PIN-кода. Ключ безопасности нужен для создания одноразовых паролей во всех системах, где есть USB-порт. До этого момента ничего более надёжного в этой области не было.

Примечательно, что инструкция с описанием уязвимости уже есть в официальном блоге работников Yubikey, так что люди смогут рассчитывать на скорый выход исправления. В отчёте показано, что в исходном коде есть большая ошибка, связанная с программной ошибкой девайса. Поэтому хакер сможет попасть в систему, если введёт неправильный PIN-код на устройстве.

Ошибка находится в первой же строке дешифрования, эта часть кода отвечает за аутентификацию и проверку цифровой подписи. Брешь затрагивает версию YubiKey Neo 1.0.9 и прошлые. Сотрудники говорят, что достаточно будет приобрести более свежую версию, где эта уязвимость уже исправлена. Там применяются другие алгоритмы.

Производитель отмечает, что обладающие определёнными знаниями хакеры могут обойти YubiKey Neo совсем другими способами, никак не связанными с обнаруженной ошибкой. Поэтому не следует думать что это устройство решения на все случаи жизни.

Среди пользователей компании это заявление уже вызвало много споров. Многие пользователи думают, что производитель пытается скрыть опасность бреши, что бы воздержаться от выпуска сложного исправления. Ручное обновление прошивки на девайсах заблокировано, делается это из что бы сохранить безопасность. Однако организация уже сказала поменять ключи всем желающим без затрат.

3 2048 Рейтинг 4.204/5 основан на 2048 просмотрах
Комментарии
  • MatteW

    даже такие устройства не спасают, вся защита очень условна

    Thursday, 28-11-2019 09:06
  • Andrew1990

    Но это всё равно лучше, чем такого ключа не использовать совсем.

    Friday, 29-11-2019 09:01
  • SecLab

    Этот YubiKey уже сильно устарел, и не слишком удобен. Поэтому не советую юзать

    Wednesday, 13-01-2021 01:11