Замечена уязвимость YubiKey Neo

Реализация OpenPGP в ключе безопасности Yubikey NEO, как сообщает эксперт Джои Кастилло, содержит опасную ошибку. Этот ключ нужен во многих финансовых и банковских организациях, а также для защиты важной информации разных организаций. Новая уязвимость даёт хакеру, обладающему небольшими локальными привилегиями, быстро обойти ввод PIN-кода. Ключ безопасности нужен для создания одноразовых паролей во всех системах, где есть USB-порт. До этого момента ничего более надёжного в этой области не было.

Примечательно, что инструкция с описанием уязвимости уже есть в официальном блоге работников Yubikey, так что люди смогут рассчитывать на скорый выход исправления. В отчёте показано, что в исходном коде есть большая ошибка, связанная с программной ошибкой девайса. Поэтому хакер сможет попасть в систему, если введёт неправильный PIN-код на устройстве.

Ошибка находится в первой же строке дешифрования, эта часть кода отвечает за аутентификацию и проверку цифровой подписи. Брешь затрагивает версию YubiKey Neo 1.0.9 и прошлые. Сотрудники говорят, что достаточно будет приобрести более свежую версию, где эта уязвимость уже исправлена. Там применяются другие алгоритмы.

Производитель отмечает, что обладающие определёнными знаниями хакеры могут обойти YubiKey Neo совсем другими способами, никак не связанными с обнаруженной ошибкой. Поэтому не следует думать что это устройство решения на все случаи жизни.

Среди пользователей компании это заявление уже вызвало много споров. Многие пользователи думают, что производитель пытается скрыть опасность бреши, что бы воздержаться от выпуска сложного исправления. Ручное обновление прошивки на девайсах заблокировано, делается это из что бы сохранить безопасность. Однако организация уже сказала поменять ключи всем желающим без затрат.