AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

EUCLEAK, la vulnerabilità che consente di clonare le chiavette FIDO di YubiKey

Scopri come la vulnerabilità EUCLEAK mette a rischio le tue chiavi crittografiche

EUCLEAK è una vulnerabilità nei dispositivi YubiKey 5 (e altri con microcontrollore Infineon SLE78) che permette di clonare chiavi crittografiche ECDSA tramite attacchi side-channel. Richiede accesso fisico e attrezzature specializzate. Yubico ha rilasciato avvisi di sicurezza.

This pill is also available in English language

EUCLEAK è il nome dato a una seria vulnerabilità individuata nei dispositivi basati su FIDO che sfruttano il microcontroller di sicurezza Infineon SLE78, tra cui la popolare serie YubiKey 5 prodotta da Yubico. Se adeguatamente sfruttato, questo difetto di sicurezza permette agli aggressori di estrarre le chiavi crittografiche dall’algoritmo di firma digitale, rendendo possibile la clonazione dei dispositivi di autenticazione. Questa falla, rilevata dal ricercatore Thomas Roche di NinjaLab, rappresenta una significativa minaccia per i microcontrollori di sicurezza integrati in numerosi prodotti crittografici, compromettendo in particolare la sicurezza delle chiavette YubiKey 5.

Caratteristiche e rischi di EUCLEAK

Le YubiKey sono dispositivi hardware che aderiscono allo standard FIDO, simili a una chiavetta USB, utilizzati per l’autenticazione multi-fattore, passwordless e NFC. La vulnerabilità EUCLEAK sfrutta un attacco di tipo side channel per estrarre le chiavi segrete ECDSA (Elliptic Curve Digital Signature Algorithm), compromettendo la sicurezza dei dati crittografici. Roche ha dimostrato che qualsiasi prodotto contenente microcontrollori Infineon SLE78 e successivi, inclusi Infineon Optiga Trust M e Infineon Optiga TPM, possono essere vulnerabili. Utilizzando una piattaforma aperta JavaCard basata sulla tecnologia Infineon, il ricercatore ha identificato una vulnerabilità side-channel e sviluppato un metodo di attacco pratico testato con successo su una YubiKey 5Ci.

Procedura di attacco basata su side-channel

Gli attacchi EUCLEAK derivano da analisi side-channel che osservano variazioni fisiche come il consumo di energia o le emissioni elettromagnetiche durante le operazioni crittografiche per l’autenticazione di un dispositivo. L'attacco si concentra sulla libreria crittografica dei microcontrollori Infineon, sfruttando un difetto nell’implementazione dell’algoritmo EEA (Extended Euclidean Algorithm), necessario per l’inversione modulare di una chiave effimera durante la firma digitale. Queste operazioni possono causare la fuga di informazioni rilevanti, permettendo agli aggressori di ricostruire le chiavi segrete. Tuttavia, per realizzare l’attacco, è indispensabile avere accesso fisico al dispositivo target e utilizzare attrezzature e competenze specializzate, limitando il rischio a entità con risorse considerevoli.

Misure di sicurezza e raccomandazioni

Nonostante l’attacco necessiti di competenze avanzate, le implicazioni per la sicurezza sono rilevanti e non devono essere trascurate. Per proteggere i dispositivi da tali minacce, è cruciale implementare misure di sicurezza robuste fin dalla fase di progettazione. Il produttore Yubico ha emesso un avviso di sicurezza che conferma il problema e fornisce indicazioni su come verificare la vulnerabilità nei propri dispositivi. Tuttavia, i dispositivi YubiKey con firmware precedente alla versione 5.7 sono vulnerabili e non possono essere aggiornati. Roche consiglia di continuare a utilizzare prodotti vulnerabili piuttosto che passare a soluzioni senza elementi sicuri, adottando mitigazioni temporanee come l’utilizzo di primitive crittografiche diverse dall’ECDSA e l’imposizione di un PIN per l’accesso ai dispositivi.

Follow us on Facebook for more pills like this

09/09/2024 12:20

Marco Verro

Last pills

Italy's success in cybersecurityHow Italy achieved excellence in global cybersecurity: strategies, collaborations, and international successes

IntelBroker alleged breach of Deloitte systemsServer exposed: how Deloitte's security may have been compromised by a cyber attack

Vo1d infections on Android TV boxes: how to protect your devicesLearn the essential measures to protect your Android TV boxes from the dreaded Vo1d malware and keep your devices safe from cyber threats

Hacker attack in Lebanon: Hezbollah under fireTechnological shock and injuries: cyber warfare hits Hezbollah in Lebanon