27. April 2015
Yubikey Neo: Sicherheitslücke
Der auch als Smartcard verwendbare USB-Stick "Yubikey Neo" des Herstellers Yubico ist durch eine Sicherheitslücke für Angriffe anfällig.
Die sonst notwendige PIN-Abfrage bei Zugriffen mit OpenPGP wie beispielsweise der Entschlüsselung und Signierung von Dateien, bei denen der Stick wie eine Smartcard funktioniert, kann durch die Sicherheitslücke übersprungen werden.
In der Regel ist die PIN-Eingabe notwendig um sich als zugriffsberechtigter Nutzer zu authentifizieren, damit man den Stick zum Entschlüsseln verwenden kann. Durch die Sicherheitslücke benötigen Angreifer lediglich physikalischen Zugriff auf den Stick oder können, da der Yubikey auch über Nahfeldkommunikation verfügt, per Funk auf diesen zugreifen.
Verantwortlich für die Sicherheitslücke ist ein Programmierfehler im ykneo-openpgp, dem auf dem Stick mitgeführten Krypto-Tool. Dem Hersteller zufolge sind sämtliche Versionen bis 1.0.9 betroffen.
Aktuelle Sticks verfügen über Version 1.0.10 und sind somit vor derartigen Angriffen geschützt. Firmwareupdates auf dem Stick an sich sind allerdings aus Sicherheitsgründen nicht möglich, wodurch die Lücke auf älteren Versionen nicht geschlossen werden kann. (BM)
Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.