Categories: Cybersicherheit

Sicherheitslücke: Yubico-Sicherheitsschlüssel anfällig für Cloning

Forscher von NinjaLabs haben eine Sicherheitslücke entdeckt, die es erlaubt, bestimmte Hardwareschlüssel von Yubico zu klonen. Betroffen sind vor allem Schlüssel der Serie YubiKey 5 mit Softwareversion vor 5.7.

Der Fehler steckt im in einem Sicherheitschip von Infineon mit der Typenbezeichnung SLE78. Er erlaubt einen Seitenkanal-Angriff. Allerdings wird dafür ein physischer Zugriff auf den Hardwareschlüssel benötigt – sowie Geräte im Wert von rund 11.000 Dollar. Unter anderem ist es erforderlich, den Hardwareschlüssel zu öffnen, was ein unbemerktes Klonen erschwert. Um schließlich mit einen geklonten Hardwareschlüssel die Kontrolle über Nutzerkonten übernehmen zu können, muss ein Angreifer auch die Nutzernamen und Kennwörter kennen.

In einer Sicherheitswarnung listet Yubico alle betroffenen Schlüssel: YubiKey 5 Serie, YubiKey 5 FIPS Serie, YubiKey 5 CSPN Serie und Security Key Serie, jeweils mit Softwareversion vor 5.7, sowie YubiKey Bio Serie mit Softwareversion vor 5.7.2. Darüber hinaus sind die Schlüssel YubiHSM 2 und YubiHSM 2 FIPS mit Softwareversion vor 2.4.0 angreifbar. Nach Angaben des Herstellers wurde die Firmware-Version 5.7 im Mai veröffentlicht, sodass alle zuvor gekauften Schlüssel als angreifbar eingestuft werden müssen.

Welche Softwareversion auf einem Hardwareschlüssel von Yubico installiert ist, lässt sich mit der App Yubico Authenticator prüfen, die für Windows, macOS, Linux, Android und iOS verfügbar ist. Allerdings ist es nicht möglich, die Software betroffener Schlüssel zu aktualisieren – aus Sicherheitsgründen ist eine Update-Funktion nicht verfügbar. Nutzer, die YubiKey-Schlüssel in kritischen Bereichen wie Behörden, Finanzinstituten oder Gesundheitseinrichtungen einsetzen, sollten angreifbare Schlüssel austauschen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Digitalisierte Batteriezellenproduktion

Fraunhofer hat eine Wickelanlage für zylindrische Batteriezellen entwickelt, mit der sich neue Designs und Produktionsprozesse…

26 Minuten ago

Urteil: Google muss Play Store für App-Stores von Drittanbietern öffnen

Epic Games setzt sich um Kartellstreit mit Google weitgehen durch. Die von einem US-Bundesgericht verhängten…

3 Stunden ago

Digitale Verwaltung: 6 von 7 Deutschen ohne Erfahrung

Erst 15 Prozent haben schon mal einen Behördengang online erledigt – und nur 31 Prozent…

4 Stunden ago

Verbraucher sehen KI als Risiko für Datensicherheit

Die Mehrheit der Verbraucher steht auch einer unkontrollierten Nutzung ihrer Daten durch KI kritisch gegenüber.…

4 Stunden ago

Neue Cyberbedrohungen für Verbraucher

Die Geschwindigkeit von Cyberangriffen hat sich erheblich erhöht. Angreifer exfiltrieren Daten in weniger als einem…

6 Stunden ago

Opera: Mit genKI und Datenschutz den Browser-Giganten trotzen

Google Chrome, Apple Safari und Microsoft Edge: Opera versucht mit KI-Innovationen und starkem Fokus auf…

8 Stunden ago