2683 Letture
Yubico, bug di sicurezza scoperto in alcune chiavette per l'autenticazione a due fattori

Yubico, bug di sicurezza scoperto in alcune chiavette per l'autenticazione a due fattori

L'azienda produttrice richiama le chiavette YubiKey FIPS con firmware 4.4.2 e 4.4.4 sostituendole con le versioni esenti da qualunque problematica di sicurezza.

Le chiavette Yubico sono in assoluto tra quelle più vendute e utilizzate per l'autenticazione a due fattori: vedere Autenticazione a due fattori: cosa succede se si perde una chiavetta U2F FIDO2.

Disponibili su Amazon Italia, i prodotti Yubico consentono di autenticarsi rapidamente sui sistemi compatibili (Windows ha recentemente "fatto propri" gli standard FIDO2 e WebAuthn: Windows Hello abbraccia le chiavette FIDO2 e lo standard aperto WebAuthn) nonché di accedere ai servizi web di vari fornitori senza digitare alcuna password.

Yubico, bug di sicurezza scoperto in alcune chiavette per l'autenticazione a due fattori

Yubico ha però dovuto confermato che alcune sue chiavette soffrono di una vulnerabilità a livello firmware che riduce la casualità delle chiavi crittografiche usate dalla linea YubiKey FIPS.


Il bug è presente nelle versioni del firmware 4.4.2 e 4.4.4: esso influenza il comportamento della chiavetta in fase di avvio e, per un breve periodo di tempo, rende prevedibili le chiavi crittografiche.

Sebbene il problema sia difficilmente sfruttabile da parte di utenti malintenzionati, Yubico ha comunque deciso di avviare un programma di richiamo delle chiavette problematiche: agli utenti verrà consegnata una nuova chiavetta con il firmware 4.4.5 che risolve la falla di sicurezza scoperta internamente dagli ingegneri della società.

Yubico, bug di sicurezza scoperto in alcune chiavette per l'autenticazione a due fattori