Gli specialisti della sicurezza informatica hanno segnalato di aver riscontrato una grave vulnerabilità nei chip installati nelle chiavi di sicurezza Google Titan e YubiKey. Le vulnerabilità segnalate consentirebbero agli hacker malintenzionati di ottenere le chiavi di crittografia primarie utilizzate da questi dispositivi per generare token di crittografia e risolvere le sfide dell’autenticazione a più fattori o, in altre parole, clonare le chiavi di sicurezza.
Sebbene il difetto, rintracciato come CVE-2021-3011 , suoni serio, gli esperti che lo hanno scoperto riferiscono che non è davvero un problema così grave. Il primo problema per i potenziali attori delle minacce è che questo attacco richiede l’accesso fisico al dispositivo, rendendo impossibile la compromissione in remoto. Tuttavia, gli utenti di questi dispositivi non dovrebbero ignorare la possibilità di attacchi poiché tecniche simili si sono dimostrate efficaci in passato.
D’altra parte, gli esperti riferiscono che le custodie di questi dispositivi sono praticamente inviolabili, in quanto è molto difficile aprire i dispositivi senza danneggiarne i componenti interni: “Queste chiavi di sicurezza sono composte da due pezzi di plastica strettamente attaccati l’uno all’altro; non è facile liberarli con un coltello o qualche altro artefatto“. Di seguito sono riportati i modelli di dispositivo interessati:
- Token di sicurezza Google Titan (tutte le versioni)
- Yubico Yubikey Neo
- Feitian FIDO NFC USB-A / K9
- Feitian MultiPass FIDO / K13
- Feitian ePass FIDO USB-C / K21
- Feitian FIDO NFC USB-C / K40
Nel loro rapporto, gli esperti menzionano l’utilizzo di una pistola ad aria calda per ammorbidire la plastica e rimuovere il circuito stampato (PCB) senza danneggiarlo. Tuttavia, è stato impossibile rimontare la chiave senza evidenziare le modifiche, poiché il calore ha deformato la plastica.
Infine, gli specialisti affermano che gli strumenti hardware e software necessari per questo hack sono davvero costosi e sofisticati, complicando ulteriormente un possibile attacco.
Sebbene questi attacchi siano al di fuori della portata dei comuni hacker, è del tutto fattibile per le agenzie investigative completare una campagna basata su questo attacco: “Gli utenti che si sentono esposti a questi attacchi possono cambiare le loro chiavi di sicurezza o ricorrere ad altri dispositivi“, aggiungono gli esperti.