Pesquisadores da NinjaLab identificaram uma nova vulnerabilidade que afeta chaves criptográficas YubiKey 5 e outros dispositivos baseados em chips Infineon. O ataque, denominado EUCLEAK, explora falhas no algoritmo ECDSA utilizado por esses dispositivos para clonagem de chaves. Entre os afetados, estão produtos que utilizam chips Infineon SLE78, como o YubiKey 5, além de microcontroladores presentes em sistemas de segurança, incluindo Infineon Optiga Trust M e Optiga TPM.
Dispositivos afetados e impacto potencial
O ataque EUCLEAK foi comprovado na prática em chaves YubiKey 5Ci e TPMs com chips Infineon SLB96xx. Entretanto, a vulnerabilidade pode impactar outros dispositivos que usam a mesma tecnologia, como laptops Lenovo, Dell e HP com chips TPM, além de smartphones Samsung e OnePlus com enclaves isolados de segurança. Outros sistemas potencialmente vulneráveis incluem carteiras de criptomoedas, cartões SIM, chips EMV de cartões bancários e até passaportes eletrônicos em países como Brasil, China, Índia, Estados Unidos e nações europeias.
Atualizações e soluções
A YubiKey 5 corrigiu a falha em seu firmware versão 5.7, substituindo a biblioteca criptográfica afetada. No entanto, apenas os dispositivos novos estão livres dessa vulnerabilidade, já que as versões antigas da YubiKey não permitem a atualização do firmware. A Infineon também desenvolveu uma correção para a falha na biblioteca criptográfica, mas sua implementação depende da certificação, que ainda não foi concluída.
Execução do ataque e dificuldades
Embora o ataque EUCLEAK seja uma ameaça real, sua execução exige condições complexas. O invasor precisa de acesso físico ao dispositivo, o que implica desmontar a chave, removendo sua proteção física. Isso envolve abrir a caixa do token, analisar a radiação eletromagnética gerada durante o processo de autenticação e, posteriormente, reconstruir a chave privada ECDSA. A dificuldade técnica do ataque também inclui o uso de equipamentos caros, com valor superior a US$ 10.000, como o osciloscópio PicoScope 6424E, micromanipuladores e amplificadores de sinal.
Notícias Relacionadas
Correção de vulnerabilidade
Progress Software corrige vulnerabilidade gravíssima em seus produtos LoadMaster
A Progress Software lançou uma emergência para abordar uma vulnerabilidade de gravidade máxima em seus produtos LoadMaster. A falha foi rastreada como CVE-2024-7591, que afeta seus produtos LoadMaster e LoadMaster Multi-Tenant (MT) Hypervisor. Vulnerabilidade corrigida no LoadMaster A vulnerabilidade é um problema de validação de entrada imprópria, que pode permitir que um invasor remoto não […]
Apache OFBiz
Apache corrige vulnerabilidade crítica em seu software OFBiz!
A Apache acaba de corrigir uma vulnerabilidade crítica de segurança em seu software OFBiz (Open For Business) de código aberto. Essa vulnerabilidade corrigida, poderia permitir que invasores executassem código arbitrário em servidores Linux e Windows vulneráveis. Vulnerabilidade corrigida no software OFBiz da Apache O OFBiz é um conjunto de aplicativos de negócios de gerenciamento de […]
Além disso, após o processo de clonagem, seria necessário recompor o case da chave, um procedimento que pode ser feito com uma impressora 3D, mas que dificilmente passaria despercebido. Outro obstáculo significativo para o sucesso do ataque é a necessidade de obter informações adicionais, como login e senha da vítima, para autenticações multifator, ou até mesmo fatores biométricos em métodos de autenticação sem senha, como FIDO2 ou Passkey.
O método por trás do ataque
O EUCLEAK explora uma vulnerabilidade no algoritmo de cálculo do módulo do elemento inverso da biblioteca criptográfica Infineon. Esse cálculo revela variações de tempo que podem ser analisadas, permitindo que o invasor recupere informações parciais sobre o vetor de inicialização utilizado no processo de geração de assinaturas digitais ECDSA. A partir dessa análise, o invasor pode realizar cálculos para recuperar a chave privada, sendo necessário capturar cerca de 40 assinaturas digitais para recriar a chave com sucesso.
Prevenção e mitigação
Apesar do impacto teórico significativo, o ataque ainda é altamente dependente de fatores externos, como o acesso físico prolongado ao dispositivo e a captura precisa da radiação eletromagnética. Para os usuários, o mais importante é garantir o uso de dispositivos atualizados, especialmente para aqueles que dependem de tokens YubiKey 5 e similares para autenticação segura. Além disso, práticas como a utilização de autenticação multifator e senhas fortes continuam sendo fundamentais para proteger contas contra invasões.
