Pesquisadores da NinjaLab identificaram uma nova vulnerabilidade que afeta chaves criptográficas YubiKey 5 e outros dispositivos baseados em chips Infineon. O ataque, denominado EUCLEAK, explora falhas no algoritmo ECDSA utilizado por esses dispositivos para clonagem de chaves. Entre os afetados, estão produtos que utilizam chips Infineon SLE78, como o YubiKey 5, além de microcontroladores presentes em sistemas de segurança, incluindo Infineon Optiga Trust M e Optiga TPM.
Dispositivos afetados e impacto potencial
O ataque EUCLEAK foi comprovado na prática em chaves YubiKey 5Ci e TPMs com chips Infineon SLB96xx. Entretanto, a vulnerabilidade pode impactar outros dispositivos que usam a mesma tecnologia, como laptops Lenovo, Dell e HP com chips TPM, além de smartphones Samsung e OnePlus com enclaves isolados de segurança. Outros sistemas potencialmente vulneráveis incluem carteiras de criptomoedas, cartões SIM, chips EMV de cartões bancários e até passaportes eletrônicos em países como Brasil, China, Índia, Estados Unidos e nações europeias.
Atualizações e soluções
A YubiKey 5 corrigiu a falha em seu firmware versão 5.7, substituindo a biblioteca criptográfica afetada. No entanto, apenas os dispositivos novos estão livres dessa vulnerabilidade, já que as versões antigas da YubiKey não permitem a atualização do firmware. A Infineon também desenvolveu uma correção para a falha na biblioteca criptográfica, mas sua implementação depende da certificação, que ainda não foi concluída.
Execução do ataque e dificuldades
Embora o ataque EUCLEAK seja uma ameaça real, sua execução exige condições complexas. O invasor precisa de acesso físico ao dispositivo, o que implica desmontar a chave, removendo sua proteção física. Isso envolve abrir a caixa do token, analisar a radiação eletromagnética gerada durante o processo de autenticação e, posteriormente, reconstruir a chave privada ECDSA. A dificuldade técnica do ataque também inclui o uso de equipamentos caros, com valor superior a US$ 10.000, como o osciloscópio PicoScope 6424E, micromanipuladores e amplificadores de sinal.
Notícias Relacionadas
Cibersegurança industrial
Mais de 145 mil sistemas industriais expostos online
Pesquisa revela mais de 145 mil sistemas industriais expostos em 175 países. Dispositivos ICS vulneráveis representam risco crescente para infraestrutura crítica.
Segurança digital
Amazon e Audible enfrentam onda de spam com sites de forex e warez
Amazon e Audible estão sendo inundados com conteúdos maliciosos que promovem esquemas de forex e links para sites suspeitos, revelando falhas no controle de spam em plataformas digitais.
Além disso, após o processo de clonagem, seria necessário recompor o case da chave, um procedimento que pode ser feito com uma impressora 3D, mas que dificilmente passaria despercebido. Outro obstáculo significativo para o sucesso do ataque é a necessidade de obter informações adicionais, como login e senha da vítima, para autenticações multifator, ou até mesmo fatores biométricos em métodos de autenticação sem senha, como FIDO2 ou Passkey.
O método por trás do ataque
O EUCLEAK explora uma vulnerabilidade no algoritmo de cálculo do módulo do elemento inverso da biblioteca criptográfica Infineon. Esse cálculo revela variações de tempo que podem ser analisadas, permitindo que o invasor recupere informações parciais sobre o vetor de inicialização utilizado no processo de geração de assinaturas digitais ECDSA. A partir dessa análise, o invasor pode realizar cálculos para recuperar a chave privada, sendo necessário capturar cerca de 40 assinaturas digitais para recriar a chave com sucesso.
Prevenção e mitigação
Apesar do impacto teórico significativo, o ataque ainda é altamente dependente de fatores externos, como o acesso físico prolongado ao dispositivo e a captura precisa da radiação eletromagnética. Para os usuários, o mais importante é garantir o uso de dispositivos atualizados, especialmente para aqueles que dependem de tokens YubiKey 5 e similares para autenticação segura. Além disso, práticas como a utilização de autenticação multifator e senhas fortes continuam sendo fundamentais para proteger contas contra invasões.
