YubiKey è vulnerabile agli exploit di BadUSB?

1

So che BadUSB (rivelato da srlabs.de alcuni anni fa) funziona modificando il firmware effettivo di una particolare marca di dispositivo USB, e come tale i miei sistemi fidati hanno i propri dispositivi USB designati che non vengono mai usati altrove . Stavo pensando di acquistare un YubiKey da utilizzare su sistemi fidati / non fidati per un altro fattore di autenticazione, ma non ero sicuro della richiesta sul loro sito web:

link

Yubico is dedicated to providing a long-term two-factor authentication solution, we want your YubiKey to remain useful for the full extent of its lifetime. When we do release new firmware, we ensure the new YubiKey will function the same as older versions, so there is no need to purchase new YubiKeys to ensure compatibility.

Sarò al sicuro da BadUSB utilizzando un YubiKey su macchine con diversi livelli di fiducia?

    
posta Rice 26.08.2016 - 05:15
fonte

1 risposta

4

Yubico ha specificamente affrontato il problema di BadUSB nel loro post di blog da agosto 2014 confermando le funzionalità separate di ciascuno dei loro prodotti:

  • FIDO U2F, YubiKey Standard, YubiHSM non sono in grado di aggiornare il firmware;
  • YubiKey NEO supporta l'aggiornamento del firmware, ma richiede la nuova immagine del firmware da firmare da Yubico;
  • nessuno dei dispositivi contiene memoria in grado di memorizzare codice malware;
  • YubiKey 4 pubblicato a novembre 2015 non è menzionato.

Yubico è a conoscenza del problema e afferma di aver preso precauzioni contro l'attacco (nel caso di dispositivi tecnicamente in grado di aggiornare il firmware).

A meno che Yubico non risponda alle loro promesse da un difetto o da un cambiamento nella suddetta politica, non c'è modo di alterare il firmware in YubiKey senza un'intrusione fisica.

La decisione definitiva se fidarsi di Yubico come fornitore è sull'utente.

Per quanto riguarda la voce citata dalle FAQ di Yubico, il suo contenuto completo è:

No, It is currently not possible to upgrade YubiKey firmware. To prevent attacks on the YubiKey which might compromise its security, the YubiKey does not permit its firmware to be accessed or altered.

Yubico is dedicated to providing a long-term two-factor authentication solution, we want your YubiKey to remain useful for the full extent of its lifetime. When we do release new firmware, we ensure the new YubiKey will function the same as older versions, so there is no need to purchase new YubiKeys to ensure compatibility.

Il primo paragrafo indica che il firmware di YubiKey non è modificabile.

Il secondo paragrafo indica: quando Yubico rilascia un YubiKey con una versione firmware aggiornata, garantisce la compatibilità del software di supporto con i vecchi dispositivi (che non sono aggiornabili).

Non c'è spazio per l'interpretazione o la speculazione.

    
risposta data 26.08.2016 - 06:14
fonte

Leggi altre domande sui tag