Yubico, bug di sicurezza scoperto in alcune chiavette per l'autenticazione a due fattori

Le chiavette Yubico sono in assoluto tra quelle più vendute e utilizzate per l’autenticazione a due fattori: vedere Autenticazione a due fattori: cosa succede se si perde una chiavetta U2F FIDO2.

Disponibili su Amazon Italia, i prodotti Yubico consentono di autenticarsi rapidamente sui sistemi compatibili (Windows ha recentemente “fatto propri” gli standard FIDO2 e WebAuthn: Windows Hello abbraccia le chiavette FIDO2 e lo standard aperto WebAuthn) nonché di accedere ai servizi web di vari fornitori senza digitare alcuna password.

Yubico ha però dovuto confermato che alcune sue chiavette soffrono di una vulnerabilità a livello firmware che riduce la casualità delle chiavi crittografiche usate dalla linea YubiKey FIPS.

Il bug è presente nelle versioni del firmware 4.4.2 e 4.4.4: esso influenza il comportamento della chiavetta in fase di avvio e, per un breve periodo di tempo, rende prevedibili le chiavi crittografiche.

Sebbene il problema sia difficilmente sfruttabile da parte di utenti malintenzionati, Yubico ha comunque deciso di avviare un programma di richiamo delle chiavette problematiche: agli utenti verrà consegnata una nuova chiavetta con il firmware 4.4.5 che risolve la falla di sicurezza scoperta internamente dagli ingegneri della società.