নিরাপত্তা গবেষকরা YubiKey 5-এ একটি দুর্বলতা আবিষ্কার করেছেন যা একটি নিবেদিত এবং সম্পদশালী হ্যাকারকে ডিভাইসটি ক্লোন করার অনুমতি দিতে পারে। হিসাবে প্রথম জিনিস আবিষ্কৃত ছিল আরস টেকনিকা বলেছে যে ডিভাইসের মাইক্রোকন্ট্রোলারে একটি ক্রিপ্টোগ্রাফিক ত্রুটি (সাইড চ্যানেল) এর কারণে দুর্বলতা।
সংবেদনশীল অ্যাকাউন্ট লক ডাউন করতে বহু-ফ্যাক্টর প্রমাণীকরণ সিস্টেমের অংশ হিসাবে লক্ষ লক্ষ মানুষ YubiKeys ব্যবহার করে। ধারণাটি হল যে কেউ আপনার ব্যাঙ্ক অ্যাকাউন্ট বা কোম্পানির সার্ভারে অ্যাক্সেস পাওয়ার চেষ্টা করছে তার প্রবেশের জন্য একটি ফিজিক্যাল অ্যাক্সেস কী প্রয়োজন। পাসওয়ার্ডগুলি ফিশিং করা তুলনামূলকভাবে সহজ, কিন্তু YubiKey-এর মতো শারীরিক ডিভাইসগুলিতে অ্যাক্সেস পাওয়া প্রায় অসম্ভব।
YubiKeys হল FIDO হার্ডওয়্যার, যার মানে তারা Elliptic Curve Digital Signature Algorithm (ECDSA) নামে একটি প্রমিত এনক্রিপশন সিস্টেম ব্যবহার করে। নিনজাল্যাব ইসিডিএসএ-তে রুট করা হয়েছে, এর ক্রিপ্টোগ্রাফিক লাইব্রেরির বিপরীত-ইঞ্জিনিয়ার করা অংশ, এবং এর সাইড-চ্যানেল আক্রমণগুলিকে ইঞ্জিনিয়ার করেছে।
যতক্ষণ তাদের অনেক সময়, মস্তিষ্ক এবং নগদ থাকে, নতুন শোষণগুলি ঠিক তা করতে পারে। ইউবিকো দুর্বলতা প্রকাশ করা হয় একটি বিস্তারিত প্রতিবেদন এর ওয়েবসাইটে পাওয়া যায় নিনজাল্যাবের নিরাপত্তা গবেষকরা.
“একজন আক্রমণকারী প্রভাবিত ব্যক্তিগত কীগুলি পুনরুদ্ধার করতে একটি পরিশীলিত এবং লক্ষ্যবস্তু আক্রমণের অংশ হিসাবে এই সমস্যাটিকে কাজে লাগাতে পারে৷ আক্রমণকারীর YubiKey, নিরাপত্তা কী বা YubiHSM এর শারীরিক দখল, তারা যে অ্যাকাউন্টটি আক্রমণ করতে চায় তার জ্ঞান এবং সঞ্চালনের ক্ষমতা প্রয়োজন৷ প্রয়োজনীয় আক্রমণ বিশেষ সরঞ্জাম। এটি তার ওয়েবসাইটে ব্যাখ্যা করা হয়েছে. “ব্যবহারের উপর নির্ভর করে, আক্রমণকারীদের ব্যবহারকারীর নাম, পিন, অ্যাকাউন্ট পাসওয়ার্ড, বা প্রমাণীকরণ কী সহ অতিরিক্ত জ্ঞানের প্রয়োজন হতে পারে।”
NinjaLab-এর মতে, ফার্মওয়্যার সংস্করণ 5.7 বা তার কম ব্যবহার করে সমস্ত YubiKey 5s, সেইসাথে “Infineon ক্রিপ্টোগ্রাফিক নিরাপত্তা লাইব্রেরি চালানোর সমস্ত Infineon সুরক্ষিত মাইক্রোকন্ট্রোলারকে দুর্বলতা প্রভাবিত করে।” NinjaLab একটি কী অপসারণ করে, এটি একটি অসিলোস্কোপের সাথে সংযুক্ত করে এবং প্রমাণীকরণের সময় কী নির্গত ইলেক্ট্রোম্যাগনেটিক রেডিয়েশনের ক্ষুদ্র ওঠানামা পরিমাপ করে।
অতএব, যে কেউ এই কীগুলির মধ্যে একটি দ্বারা সুরক্ষিত কিছু অ্যাক্সেস করতে চায় তাকে এটি অ্যাক্সেস করতে হবে, এটি ভেঙে ফেলতে হবে এবং কীটি ক্লোন করতে অত্যাধুনিক জ্ঞান এবং সরঞ্জাম ব্যবহার করতে হবে। তারপর, অনুমান করে যে তারা আবিষ্কার করতে চায় না, তাদের আসল চাবিটি ফিরিয়ে দিতে হবে এবং মালিকের কাছে ফেরত দিতে হবে।
“অনুগ্রহ করে মনে রাখবেন যে এই সেটআপের জন্য প্রায় ($10,000) খরচ হয়,” NinjaLab বলেছে। একটি আরও উন্নত অসিলোস্কোপ ব্যবহার করে পুরো অপারেশনের খরচে $30,000 যোগ করতে পারে।
NinjaLab নোট করে যে এই দুর্বলতাটি YubiKey 5 এর মতো একই মাইক্রোকন্ট্রোলার ব্যবহার করে অন্যান্য সিস্টেমে প্রসারিত হতে পারে, কিন্তু এটি এখনও এটি পরীক্ষা করেনি। “এই সুরক্ষিত মাইক্রোকন্ট্রোলারগুলি বিভিন্ন ধরণের নিরাপত্তা ব্যবস্থায় পাওয়া যায় – প্রায়শই ECDSA-এর উপর নির্ভর করে – যেমন ই-পাসপোর্ট এবং ক্রিপ্টোকারেন্সি হার্ডওয়্যার ওয়ালেট, সেইসাথে স্মার্ট গাড়ি বা বাড়ি,” এটি বলে। “তবে, আমরা এখনও পরীক্ষা করিনি যে EUCLEAK আক্রমণ এই পণ্যগুলির কোনটির ক্ষেত্রে প্রযোজ্য কিনা।”
NinjaLab বারবার তার গবেষণায় জোর দিয়েছে যে দুর্বলতাগুলিকে কাজে লাগানোর জন্য অসাধারণ সম্পদের প্রয়োজন। “অতএব, এখানে উপস্থাপিত কাজের উদ্দেশ্যে, অ্যাপ্লিকেশনগুলিতে লগ ইন করার জন্য একটি YubiKey বা অন্যান্য প্রভাবিত পণ্যকে FIDO হার্ডওয়্যার প্রমাণীকরণ টোকেন হিসাবে ব্যবহার করা এটি ব্যবহার না করার চেয়ে বেশি সুরক্ষিত থাকে,” এটি বলে।