Che cosa potrebbe fare MitM'ed U2F?

3

Google ha ora rilasciato le sue chiavi "Titan" al grande magazzino (anche se tramite una lista d'attesa). Quando hanno annunciato per la prima volta il loro prodotto, Yubico, il loro principale concorrente, ha denunciato l'uso del Bluetooth:

Google’s offering includes a Bluetooth (BLE) capable key. While Yubico previously initiated development of a BLE security key, and contributed to the BLE U2F standards work, we decided not to launch the product as it does not meet our standards for security, usability and durability. BLE does not provide the security assurance levels of NFC and USB, and requires batteries and pairing that offer a poor user experience.

Questa aspersione è arrivata qualche tempo dopo le rivelazioni di un difetto nello stack Bluetooth, ovvero la vulnerabilità di Blueborne.

Tuttavia, se l'U2F si basa sulla crittografia a chiave pubblica, è importante che qualcuno possa vedere ogni parte dello scambio di dati? Ho pensato che fosse parte del punto di U2F.

  • Non mi preoccupo di un ISP malvagio che intercetta le mie connessioni HTTPS; dovrei preoccuparmi di un malvagio spettatore quando uso U2F su Bluetooth?

  • In caso contrario, Yubico è preoccupato per il compromesso del dispositivo U2F stesso, o sta semplicemente lanciando Fear, Uncertainty e Doubt (A.K.A. "FUD") sul prodotto di un concorrente?

posta Michael 30.08.2018 - 20:07
fonte

1 risposta

3

Se la sicurezza del trasporto tra l'agente utente e l'autenticatore è interrotta, ci sono alcuni problemi (debilmente minori):

  • L'AppID viene divulgato quando si accede a un sito (di solito è il dominio del sito)
  • Se l'autore dell'attacco si trova nelle vicinanze e conosce la tua password potrebbe essere in grado di inviare la firma del token della sfida del sito Web prima di te (a seconda dell'implementazione del server potrebbe anche richiedere che conosca il cookie di sessione, il che sembra improbabile)
  • Un utente malintenzionato potrebbe essere in grado di inviare le sue sfide al token, che se scaduto correttamente (cioè prima di inviare la tua sfida) potrebbe consentirgli di accedere (assumendo nuovamente che conosca la tua password)
risposta data 30.08.2018 - 21:31
fonte

Leggi altre domande sui tag