¿Es YubiKey vulnerable a las vulnerabilidades de BadUSB?

1

Sé que BadUSB (revelado por srlabs.de hace varios años) funciona modificando el firmware de una marca particular de dispositivo USB, y como tal, mis sistemas de confianza tienen sus propios dispositivos USB designados que nunca se usan en ningún otro lugar . Estaba pensando en comprar un YubiKey para usar en sistemas confiables / no confiables para otro factor de autenticación, pero no estaba seguro de la reclamación en su sitio web:

enlace

  

Yubico se dedica a proporcionar una autenticación de dos factores a largo plazo   solución, queremos que su YubiKey siga siendo útil en toda la extensión de   su vida Cuando lanzamos un nuevo firmware, aseguramos el nuevo   YubiKey funcionará igual que las versiones anteriores, por lo que no es necesario   comprar nuevas YubiKeys para asegurar la compatibilidad.

¿Estaré a salvo de BadUSB utilizando un YubiKey en máquinas con diferentes niveles de confianza?

    
pregunta Rice 26.08.2016 - 05:15
fuente

1 respuesta

4

Yubico abordó específicamente el problema de BadUSB en su publicación de blog de agosto de 2014 confirmando por separado las capacidades de cada uno de sus productos:

  • FIDO U2F, YubiKey Standard, YubiHSM no pueden actualizar su firmware;
  • YubiKey NEO admite la actualización de firmware, pero requiere que la nueva imagen de firmware esté firmada por Yubico;
  • ninguno de los dispositivos contiene memoria capaz de almacenar código de malware;
  • YubiKey 4 lanzado en noviembre de 2015 no se menciona.

Yubico es consciente del problema y afirma haber tomado precauciones contra el ataque (en el caso de dispositivos técnicamente capaces de actualizar el firmware).

A menos que Yubico rompa su promesa ya sea por un defecto o un cambio en la política mencionada anteriormente, no hay forma de alterar el firmware en YubiKey sin una intrusión física.

La decisión final sobre si confiar en Yubico como proveedor es del usuario.

Con respecto a la entrada citada de las Preguntas frecuentes de Yubico, su contenido completo es:

  

No, actualmente no es posible actualizar el firmware de YubiKey. Para evitar ataques en la YubiKey que puedan comprometer su seguridad, la YubiKey no permite que se acceda o altere su firmware.

     

Yubico se dedica a proporcionar una solución de autenticación de dos factores a largo plazo. Queremos que su YubiKey siga siendo útil durante toda su vida útil. Cuando lanzamos un nuevo firmware, nos aseguramos de que la nueva YubiKey funcionará igual que las versiones anteriores, por lo que no es necesario comprar nuevas YubiKeys para garantizar la compatibilidad.

El primer párrafo significa que el firmware de YubiKey no es modificable.

El segundo párrafo significa: cuando Yubico lanza una YubiKey con una versión de firmware actualizada, garantizan la compatibilidad del software de soporte con los dispositivos antiguos (que no se pueden actualizar).

No hay espacio para la interpretación o la especulación.

    
respondido por el techraf 26.08.2016 - 06:14
fuente

Lea otras preguntas en las etiquetas