Yubico abordó específicamente el problema de BadUSB en su publicación de blog de agosto de 2014 confirmando por separado las capacidades de cada uno de sus productos:
- FIDO U2F, YubiKey Standard, YubiHSM no pueden actualizar su firmware;
- YubiKey NEO admite la actualización de firmware, pero requiere que la nueva imagen de firmware esté firmada por Yubico;
- ninguno de los dispositivos contiene memoria capaz de almacenar código de malware;
- YubiKey 4 lanzado en noviembre de 2015 no se menciona.
Yubico es consciente del problema y afirma haber tomado precauciones contra el ataque (en el caso de dispositivos técnicamente capaces de actualizar el firmware).
A menos que Yubico rompa su promesa ya sea por un defecto o un cambio en la política mencionada anteriormente, no hay forma de alterar el firmware en YubiKey sin una intrusión física.
La decisión final sobre si confiar en Yubico como proveedor es del usuario.
Con respecto a la entrada citada de las Preguntas frecuentes de Yubico, su contenido completo es:
No, actualmente no es posible actualizar el firmware de YubiKey. Para evitar ataques en la YubiKey que puedan comprometer su seguridad, la YubiKey no permite que se acceda o altere su firmware.
Yubico se dedica a proporcionar una solución de autenticación de dos factores a largo plazo. Queremos que su YubiKey siga siendo útil durante toda su vida útil. Cuando lanzamos un nuevo firmware, nos aseguramos de que la nueva YubiKey funcionará igual que las versiones anteriores, por lo que no es necesario comprar nuevas YubiKeys para garantizar la compatibilidad.
El primer párrafo significa que el firmware de YubiKey no es modificable.
El segundo párrafo significa: cuando Yubico lanza una YubiKey con una versión de firmware actualizada, garantizan la compatibilidad del software de soporte con los dispositivos antiguos (que no se pueden actualizar).
No hay espacio para la interpretación o la especulación.