Kelemahan “EUCLEAK” baru yang ditemukan pada perangkat FIDO yang menggunakan mikrokontroler keamanan Infineon SLE78, seperti Yubico Seri YubiKey 5, memungkinkan penyerang untuk mengekstrak kunci rahasia Elliptic Curve Digital Signature Algorithm (ECDSA) dan mengkloning perangkat FIDO.
NinjaLab’s Thomas Rocheyang menemukan cacat dan merancang serangan saluran samping EUCLEAKmencatat bahwa saluran samping dapat mengambil kunci rahasia ECDSA menggunakan akuisisi EM.
Namun, serangan tersebut memerlukan akses fisik yang luas, peralatan khusus, dan pemahaman tingkat tinggi tentang elektronika dan kriptografi.
Prasyarat ini secara signifikan mengurangi risiko, membatasinya terutama pada serangan dari pelaku ancaman yang sangat canggih dan disponsori negara terhadap target bernilai tinggi. Dengan demikian, EUCLEAK tidak dianggap sebagai ancaman bagi pengguna umum, bahkan bagi mereka yang menggunakan perangkat yang secara teoritis rentan.
Pada tahun 2021, Roche menemukan serangan saluran samping yang kunci keamanan Google Titan yang ditargetkanyang memungkinkannya mengekstrak kunci pribadi ECDSA dan mengkloning perangkat tersebut.
Sumber: ninjalab.io
Yubico menanggapi EUCLEAK
Kelemahan tersebut memengaruhi perangkat YubiKey Seri 5 yang menjalankan versi firmware lebih lama dari 5.7.0, yang menggunakan pustaka kriptografi Infineon yang cacat.
Model-model yang terkena dampak EUCLEAK adalah:
- Versi YubiKey Seri 5 sebelum 5.7
- YubiKey 5 Seri FIPS sebelum 5.7
- YubiKey 5 Seri CSPN sebelum 5.7
- Seri Bio YubiKey versi sebelum 5.7.2
- Seri Kunci Keamanan semua versi sebelum 5.7
- YubiHSM 2 versi sebelum 2.4.0
- YubiHSM 2 versi FIPS sebelum 2.4.0
Vendor menilai masalah tersebut sebagai sedang, dengan memberikan skor CVSS hanya 4,9, yang mencerminkan risikonya rendah.
Juga, Yubico mencatat dalam nasihatnya bahwa penyerang yang mencoba memulihkan kredensial dari kunci yang terkena dampak akan memerlukan PIN pengguna atau verifikasi biometrik untuk eksploitasi penuh, sehingga membuat serangan yang berhasil menjadi lebih sulit.
Pemilik YubiKey dapat memeriksa versi firmware kunci keamanan menggunakan Manajer YubiKey atau Autentikator YubiKey.
Sumber: BleepingComputer
Sayangnya, jika Anda menggunakan versi yang rentan, tidak ada cara untuk memutakhirkan firmware ke versi terbaru 5.7.0 (YubiKey) atau 2.4.0 (YubiHSM) untuk mengurangi kelemahan ini.
Vendor menyarankan penggunaan kunci penandatanganan RSA alih-alih kunci penandatanganan kurva eliptik (ECC) dan membatasi durasi sesi maksimum dari pengaturan penyedia identitas untuk memerlukan autentikasi FIDO yang lebih sering.
Produk lain yang terkena dampak
NinjaLab mengonfirmasi bahwa EUCLEAK juga memengaruhi TPM Infineon (SLB96xx), yang digunakan untuk boot aman, autentikasi, dan operasi kriptografi, serta mikrokontroler keamanan Optiga Trust M Infineon, yang digunakan dalam perangkat IoT.
TPM Infineon digunakan dalam kantong-kantong pintar telepon pintar dan tablet lama (antara tahun 2013 dan 2018) dari Samsung dan OnePlus, dan juga beberapa model laptop lawas (dari pertengahan tahun 2010-an) dari Lenovo, Acer, Dell, HP, dan LG.
Feitian A22 JavaCard, yang digunakan dalam kartu pintar dan sistem autentikasi, juga dipengaruhi oleh penggunaan mikrokontroler Infineon SLE78.
Perangkat lain yang berpotensi terkena dampak termasuk paspor elektronik, dompet perangkat keras mata uang kripto (dompet dingin), perangkat IoT, dan perangkat FIDO apa pun yang menggunakan SLE78 Infineon.
