Sicherheitslücke im Yubikey Neo
Der USB-Stick Yubikey Neo lässt sich auch als Smartcard nutzen. Durch einen Bug kann man die eigentlich erforderliche Eingabe der PIN umgehen. Ein Angreifer kann die Krypto-Funktionen dadurch sogar über Funk missbrauchen.
- Ronald Eikenberg
Aufgrund einer Schwachstelle kann man die PIN-Abfrage des Yubikey Neo umgehen. Die PIN müsste abgefragt werden, wenn man den USB-Stick für Krypto-Operationen mit OpenPGP nutzt, etwa beim Entschlüsseln von Dateien oder beim Signieren. Er arbeitet in diesem Modus wie eine Smartcard.
In einem sicheren Speicherbereich des Yubikey werden die privaten Krypto-Schlüssel abgelegt. Will man sie benutzen, muss man die PIN eingeben. So ist sichergestellt, dass nur der legitime Besitzer den Stick zum Entschlüsseln benutzen kann. Durch die Lücke reicht es nun, physikalischen Zugriff auf den Yubikey Neo zu haben. Da der Yubikey Neo NFC-fähig ist, kann ein Angreifer die Krypto-Funktionen sogar über Funk missbrauchen.
Die Ursache der Lücke ist offenbar ein Tippfehler im Quellcode des auf dem Stick installierten Krypto-Tools ykneo-openpgp. Betroffen sind nach Herstellerangaben alle Versionen bis 1.0.9. Im Advisory beschreibt das Unternehmen, wie man die eingesetzte Version herausfindet.
Alle aktuell ausgelieferten Sticks sollen mit der abgesicherten Version 1.0.10 ausgestattet sein. Es besteht offenbar keine Möglichkeit, die Lücke in betroffenen Yubikeys zu schließen. Aus Sicherheitsgründen kann man die Firmware der Geräte nicht aktualisieren. (rei)
