Kunci keamanan hardware — seperti dari Google dan Yubico — dianggap sebagai cara paling aman untuk melindungi akun dari serangan dan pengambilalihan phishing.
Tetapi sebuah studi baru yang diterbitkan pada hari Kamis menunjukkan bagaimana Peretas dengan perangkat otentikasi dua faktor (2FA) seperti itu dapat mengkloningnya dengan mengeksploitasi saluran samping elektromagnetik dalam chip yang disematkan.
Kerentanan (dilacak sebagai CVE-2021–3011) memungkinkan penjahat mengekstrak kunci enkripsi ECDSA atau kunci pribadi yang ditautkan ke akun korban dari perangkat FIDO Universal 2nd Factor (U2F) seperti Google Titan Key atau YubiKey, yang secara serius merusak perlindungan 2FA.
“Peretas dapat masuk ke akun aplikasi korban tanpa perangkat U2F, dan tanpa sepengetahuan korban,” kata peneliti NinjaLab Victor Lomne dan Thomas Roche dalam analisis 60 halaman.
Dengan kata lain, peretas membuat tiruan dari perangkat U2F untuk akun aplikasi korban. Klon ini akan memberikan akses ke akun aplikasi selama pengguna yang diberi otorisasi tidak mencabut kredensial autentikasi faktor keduanya. ”
Seluruh daftar produk yang terpengaruh oleh kerusakan ini mencakup semua versi Kunci Keamanan Google Titan (semua versi), Yubico Yubikey Neo, Feitian FIDO NFC USB-A / K9, Feitian MultiPass FIDO / K13, Feitian ePass FIDO USB-C / K21 , dan Feitian FIDO NFC USB-C / K40.
Selain kunci keamanan, serangan juga dapat dilakukan pada chip JavaCard NXP, termasuk NXP J3D081_M59_DF, NXP J3A081, NXP J2E081_M64, NXP J3D145_M59, NXP J3D081_M59, NXP J3E145_M64, dan varian dari NXP J3.
Serangan pemulihan kunci, perlu memenuhi sejumlah prasyarat untuk sukses.
Pertama-tama, seseorang harus mencuri login dan sandi target dari akun yang diamankan dengan kunci fisik, kemudian secara diam-diam mendapatkan akses ke Kunci Keamanan Titan yang dipermasalahkan, belum lagi memperoleh peralatan yang mahal senilai $ 12.000, dan memiliki keahlian yang memadai untuk melakukannya. software khusus untuk mengekstrak kunci yang ditautkan ke akun.
“Masih lebih aman menggunakan Kunci Keamanan Google Titan atau produk yang terpengaruh lainnya sebagai token autentikasi dua faktor FIDO U2F untuk masuk ke aplikasi daripada tidak menggunakannya,” kata para peneliti.
Untuk mengkloning kunci U2F, para peneliti memulai tugas dengan membongkar perangkat menggunakan hot air gun untuk melepas casing plastik dan mengekspos dua mikrokontroler yang disolder di dalamnya — kantong aman (chip NXP A700X) yang digunakan untuk melakukan kriptografi. operasi dan chip multiguna yang bertindak sebagai router antara antarmuka USB / NFC dan mikrokontroler otentikasi.
Setelah ini tercapai, para peneliti mengatakan bahwa dimungkinkan untuk mengumpulkan kunci enkripsi ECDSA melalui serangan saluran samping dengan mengamati radiasi elektromagnetik yang dipancarkan dari chip NXP selama tanda tangan ECDSA, operasi kriptografi inti dari protokol U2F FIDO dilakukan saat U2F terdaftar fungsi utama dengan akun untuk pertama kalinya. . baru.
Serangan biasanya bekerja berdasarkan informasi yang diperoleh dari implementasi sistem komputer, daripada mengeksploitasi kekurangan pada perangkat lunak. Seringkali, serangan ini menggunakan informasi waktu, konsumsi daya, kebocoran elektromagnetik, dan sinyal akustik sebagai sumber kebocoran data.
Dengan mendapatkan 6.000 jejak saluran info dari perintah permintaan otentikasi U2F selama periode enam jam, para peneliti mengatakan bahwa mereka dapat memulihkan kunci pribadi ECDSA yang ditautkan ke akun FIDO U2F yang dibuat untuk percobaan menggunakan model pembelajaran mesin tanpa pengawasan.
Meskipun keamanan kunci keamanan perangkat keras tidak berkurang oleh serangan di atas karena keterbatasan yang terlibat, eksploitasi di alam liar bukannya tidak dapat dibayangkan.
“Namun, pekerjaan ini menunjukkan bahwa Kunci Keamanan Google Titan (atau produk yang terkena dampak lainnya) tidak akan menghindari [a] pelanggaran keamanan tanpa diketahui oleh penyerang yang bersedia melakukan upaya yang memadai untuk melakukannya,” para penyelidik menyimpulkan. “Pengguna yang menghadapi ancaman seperti itu mungkin harus beralih ke kunci keamanan perangkat keras FIDO U2F lain, di mana belum ada kerentanan yang ditemukan.”
