2021/01/11

Hackers copiam chaves 2FA da Google, Yubico e Feitian

À semelhança do que acontece com as chaves físicas das portas, também as chaves físicas 2FA só são seguras se forem mantidas a salvo de potenciais atacantes.

Hoje em dia é praticamente imprescindível recorrer a sistemas 2FA para manter as contas digitais em segurança, e os que levam a segurança mesmo a sério normalmente optam por usar chaves 2FA físicas, como as chaves Titan da Google, as YubuKeys, ou equivalentes. Só que, nem essas chaves dão garantia de segurança absoluta, como agora foi demonstrado.

Hackers conseguiram tirar partido de uma vulnerabilidade nos chips NXP usados nestas chaves, e com isso conseguiram replicá-las para criar novas chaves idênticas à original.

A única parte boa é que este ataque não é algo que possa ser feito em segundos ou minutos: são necessárias muitas horas, e praticamente "destruir" a chave original para se ter acesso ao chip no seu interior, para além de equipamento de cerca de 10 mil euros - e o respectivo conhecimento técnico para levar a cabo o ataque.

De qualquer forma, fica a recomendação de que uma chave que tenha "desaparecido" de forma permanente ou temporariamente seja removida da conta o mais depressa possível, e que se deverá levar a segurança física destas chaves de autenticação ainda mais a sério do que já seria habitual.

2 comentários:

  1. A 1ª frase resume tudo.....
    "À semelhança do que acontece com as chaves físicas das portas, "

    .... é apenas uma questão de tempo, vontade e recursos

    ResponderEliminar
  2. Depois de ter lido a notícia:
    - Se já têm a chave original já se podem fazer passar pelo utilizador! O resto é inútil porque têm de desfazer a chave para aceder ao chip... logo não podem devolver a chave porque vai estar destruída... qualquer idiota vai perceber que mexeram nela.

    A dica é usar o FIDO2, com a parte do código PIN activo, nos web sites que suportarem tal funcionalidade.

    Da Yubico só uma versão: Yubico Yubikey Neo, está provavelmente vulnerável ( https://ninjalab.io/wp-content/uploads/2021/01/a_side_journey_to_titan.pdf página 53).

    Quem comprar versões com NFC, pelo menos na Yubico, podem desactivar no software de gestão, caso saibam que não precisam de usar no dia a dia... que muitos softwares em smartphones só precisam de se autenticar uma vez e podem ficar sem ter de se autenticar de novo até alguma reposição do aparelho para como veio de fábrica.

    ResponderEliminar