EUCLEAK
A YubiKey 5, a FIDO-szabványon alapuló kétfaktoros hitelesítéshez legszélesebb körben használt hardveres token olyan kriptográfiai hibát tartalmaz, amely az ujjméretű eszközt sérülékennyé teszi a klónozással szemben, ha egy támadó ideiglenes fizikai hozzáférést szerez hozzá – közölték 2024. szeptember 3-án a NinjaLab kutatói. A side channel-ként ismert kriptográfiai hiba egy olyan kis mikrokontrollerben található, amelyet számos más hitelesítési eszközben, többek között a banki ügyintézésben, az elektronikus útlevelekben és a biztonságos területekre való belépéshez használt intelligens kártyákban használnak. Míg a kutatók megerősítették, hogy a YubiKey 5 sorozat valamennyi modellje klónozható, nem tesztelték a mikrokontrollert használó egyéb eszközöket, például az Infineon által gyártott SLE78-at és az Infineon Optiga Trust M és az Infineon Optiga TPM néven ismert mikrokontrollereket.
A kutatók gyanúja szerint a három mikrokontrollert és az Infineon kriptográfiai könyvtárát használó bármelyik eszköz tartalmazza ugyanazt a sérülékenységet. A YubiKey gyártója, a Yubico kiadott egy figyelmeztetést, amely a NinjaLab részletes közzétételi jelentésével egy időben jelent meg. Minden YubiKey, amely az 5.7-es verzió előtti firmware-t futtatja – amely májusban jelent meg, és az Infineon kriptolibrary-t egy egyedi kriptolibrary-val helyettesíti – sérülékeny. A YubiKey kulcs firmware-jének frissítése nem lehetséges. Ezáltal az összes érintett YubiKey tartósan sérülékennyé válik.
