SicherheitslĂĽcke im Yubikey Neo

Der USB-Stick Yubikey Neo lässt sich auch als Smartcard nutzen. Durch einen Bug kann man die eigentlich erforderliche Eingabe der PIN umgehen. Ein Angreifer kann die Krypto-Funktionen dadurch sogar über Funk missbrauchen.

In Pocket speichern vorlesen Druckansicht 44 Kommentare lesen
SicherheitslĂĽcke im Yubikey
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Aufgrund einer Schwachstelle kann man die PIN-Abfrage des Yubikey Neo umgehen. Die PIN mĂĽsste abgefragt werden, wenn man den USB-Stick fĂĽr Krypto-Operationen mit OpenPGP nutzt, etwa beim EntschlĂĽsseln von Dateien oder beim Signieren. Er arbeitet in diesem Modus wie eine Smartcard.

In einem sicheren Speicherbereich des Yubikey werden die privaten Krypto-Schlüssel abgelegt. Will man sie benutzen, muss man die PIN eingeben. So ist sichergestellt, dass nur der legitime Besitzer den Stick zum Entschlüsseln benutzen kann. Durch die Lücke reicht es nun, physikalischen Zugriff auf den Yubikey Neo zu haben. Da der Yubikey Neo NFC-fähig ist, kann ein Angreifer die Krypto-Funktionen sogar über Funk missbrauchen.

Die Ursache der LĂĽcke ist offenbar ein Tippfehler im Quellcode des auf dem Stick installierten Krypto-Tools ykneo-openpgp. Betroffen sind nach Herstellerangaben alle Versionen bis 1.0.9. Im Advisory beschreibt das Unternehmen, wie man die eingesetzte Version herausfindet.

Alle aktuell ausgelieferten Sticks sollen mit der abgesicherten Version 1.0.10 ausgestattet sein. Es besteht offenbar keine Möglichkeit, die Lücke in betroffenen Yubikeys zu schließen. Aus Sicherheitsgründen kann man die Firmware der Geräte nicht aktualisieren. (rei)