2 Punkte von GN⁺ 2024-11-12 | 1 Kommentare | Auf WhatsApp teilen
  • Es gibt einen Hinweis darauf, dass ältere YubiKey-Lagerbestände mit Firmware, die für den EUCLEAK-Angriff anfällig ist, nicht ausgesondert wurden und weiterhin verkauft werden
  • Als Grundlage dient ein Leserhinweis im Fefe's Blog; eine offizielle Mitteilung oder Bestätigung des Herstellers ist nicht enthalten
  • Der derzeit überprüfbare Rahmen bleibt auf „ältere Lagerbestände“ und „anfällige Firmware“ beschränkt; Modellbezeichnungen und Firmware-Versionen werden nicht genannt
  • Ob der Verkauf tatsächlich andauert, stützt sich ebenfalls auf die Formulierung „apparently“ und sollte daher eher als hinweisgestützte Indizienlage denn als gesicherte Tatsache verstanden werden
  • Auch bei neu gekauften YubiKeys könnte es nötig sein, die Anfälligkeit der Firmware gesondert zu prüfen

Durch den Hinweis bestätigter Rahmen

  • Es wurde die Information geteilt, dass YubiKey weiterhin ältere Lagerbestände mit Firmware verkauft, die für den EUCLEAK-Angriff anfällig ist
  • Diese Bestände sollen nicht ausgesondert, sondern verkauft worden sein
  • Als Quelle wird ein Leserhinweis im Fefe's Blog genannt

Noch fehlende Bestätigungsinformationen

  • Konkrete YubiKey-Modellbezeichnungen, Firmware-Versionen, Verkaufsregionen und Vertriebskanäle werden nicht genannt
  • Eine offizielle Stellungnahme von YubiKey oder Informationen zu möglichen Maßnahmen sind ebenfalls nicht enthalten

1 Kommentare

 
GN⁺ 2024-11-12
Hacker-News-Kommentare
  • Die Bekanntgabe der YubiKey-Sicherheitslücke wurde zwar verpasst, hat aber nur geringe Auswirkungen auf das persönliche Bedrohungsmodell

    • Der Angreifer muss den YubiKey physisch besitzen und Kenntnisse über das Zielkonto sowie spezielle Ausrüstung haben
    • Zusätzliche Informationen wie Benutzername, PIN, Kontopasswort und Authentifizierungsschlüssel könnten erforderlich sein
  • Es wird darauf hingewiesen, dass Yubico weiterhin anfällige Schlüssel verkauft, anstatt sie aus dem Verkehr zu ziehen

    • Schlüssel mit neuer Firmware werden vorrangig an Institutionen und „bevorzugte Kunden“ geliefert
  • Es werden Zweifel daran geäußert, ob Kunden Yubico vertrauen können

    • Es besteht die Erwartung, dass der Hersteller sich um den Schutz seiner Kunden bemühen sollte
    • Der Verkauf anfälliger Schlüssel wird als Vertrauensbruch angesehen
  • Wenn ein YubiKey verloren geht, können Daten kompromittiert werden

    • Es existiert eine Sicherheitslücke, die 14 Jahre lang unentdeckt blieb
    • Es gibt eine Methode, Geheimnisse zu extrahieren, ohne den YubiKey zu zerlegen
  • Der Grund, warum Yubico die Schlüssel verkauft, sei, dass eine klare Kennzeichnung der Firmware-Version zu kostspielig wäre

    • Das wirkt wie eine Gelegenheit für Wettbewerber
    • Nitrokey wird als gute Alternative genannt
  • Beim Kauf von Sicherheitstokens werden Produkte mit offener Firmware und offener Hardware bevorzugt

    • Gewünscht werden unabhängig geprüfte Produkte
    • Es wäre gut, wenn es die Möglichkeit gäbe, Firmware zu laden und zu aktualisieren
  • Nitrokey wird empfohlen

    • Die Software ist auf GitHub veröffentlicht
  • Es besteht Bereitschaft, ältere YubiKeys zu einem reduzierten Preis zu kaufen

    • Im persönlichen Bedrohungsmodell ist Widerstand gegen gestohlene Schlüssel nicht besonders wichtig
  • Der Kunde befand sich in der Endphase der Auswahl eines Sicherheitstokens

    • YubiKey ist keine Option mehr
    • Enttäuschung über den Umgang mit dem Mangel
  • Beim Kauf von Schlüsseln bei Yubico könnte man passiv-aggressive Verkaufs-E-Mails erhalten