USB-funktion i Chrome underminerer to-faktor-sikkerhed i Yubi-nøgle

WebUSB i Chrome kan bruges til at omgå to-faktor-autentifikationen i Yubi-nøgler.

En funktion i Chrome kan gøre det muligt at phishe brugere, selvom de anvender en Yubi-nøgle som en del af autentifikationsprocessen. Det fortæller teknologimediet Wired.

En Yubi-nøgle er en fysisk dims, der kan sættes i en computers USB-port. Når brugeren trykker på nøglen, sendes unikke login-oplysninger til en hjemmeside i forbindelse med login.

Den slags produkter regnes i udgangspunktet for at forbedre sikkerheden væsentligt, da en hacker ikke bare kan nøjes med at få fat på brugernavn og adgangskode; han eller hun skal også have den fysiske nøgle.

Det er det samme med papkortet til NeIDd, som brugeren i udgangspunktet også skal være i besiddelse af for at gennemføre autentifikatonsprocessen.

Papkortløsningen har dog - som andre engangskode-løsninger - den svaghed, at en bruger i princippet kan narres til at indtaste engangsnøglen fra kortet på en ondsindet side, hvorefter hackeren fanger nøglen og putter den ind på en legitim side, eksempelvis offerets netbank.

Læs også: Video: Så let kan kriminelle franarre dig dit NemID

Samme svaghed gør sig ikke umiddelbart gældende ved en løsning som den med Yubi-nøglen, bemærker Wired.

Ifølge mediets udlægning finder der et handshake sted i forbindelse med login på en webtjeneste via eksempelvis en Yubi-nøgle.

Nøglen beviser på den ene side, at det er brugerens unikke nøgle, og på den anden side skal websitet også bevise sin identitet, før loginoplysninger kan sendes fra nøglen til sitet.

Sidste del, altså hvor websitet beviser sin identitet, betyder, at et man-in-the-middle-angreb ikke uden videre kan fiske både brugernavn og adgangskode samt oplysninger fra nøglen.

Det kan dog ifølge sikkerhedsforskerne Markus Vervier og Michele Orrù lade sig gøre alligevel i forhold til Yubi-nøgler af typen Yubikey Neo. Det er en af de mest populære produkter fra virksomheden, der laver nøglerne, Yubico.

WebUSB

På konferencen Offensive Con Security Conference, der fandt sted i Berlin for et par uger siden, fortalte forskeren nærmere om en angrebsteknik, de har kortlagt, som udnytter en funktion kaldet WebUSB i Chrome.

Funktionen kom til i browseren sidste år. Via WebUSB kan hjemmesider kontakte USB-tilkoblede enheder direkte, eksempelvis en 3D-printer eller et VR-headset.

Ifølge forskere er det muligt at lave en hjemmeside, som via WebUSB kontakter Yubikey NEO, som så svarer tilbage med login-informationer. Dermed bliver tjekket i forhold til, om websitet nu også er, hvad det giver sig ud for at være, omgået.

Normalt bliver Yubi-nøgler og lignende løsninger kontaktet via Chromes API til U2F. U2F er en åben standard for autentifikation. Det er Google og Yubico, der står bag standarden, som også chipproducenten NXP har bidraget til.

Hos Yubico afviser talsmand Ronnie Manning, at problemet ligger i virksomhedens U2F-produkt.

»Per U2F-protokollen så er sikkerhedsnøglen ikke ansvarlig for at foretage verifikationen,« oplyser Manning i en udtalelse til Wired, med henvisning til hvorvidt en forespørgsel til nøglen kommer fra en legitim hjemmeside.

»Faktisk så kan de (Yubi-nøglerne, red.) ikke gøre dette effektivt, eftersom de ville bero på data sendt fra browseren, og hvis ikke browseren er til at stole på, så er data heller ikke.«

Sikkerhedsforsker fra Recurity Labs Joern Schneeweisz mener ikke, WebUSB burde have været skippet afsted til brugerne i den nuværende form. Han har lavet et plugin, der slår API’et fra.

»Browserudviklerne har sat et rigtigt API op, som gør omhyggelig brug af den U2F-token, der nu engang sidder i computeren,« fortæller Joern Schneeweisz til Wired og fortsætter:

»Og så indbyggede de en anden funktion, der omgår al den sikkerhed, de har sat op.«

Ikke trivielt angreb

Wired bemærker, at angrebet, som Markus Vervier og Michele Orrù har skitseret, ikke er trivielt at udføre, og at det derfor nok vil kun vil blive brugt at sofistikerede hackere mod værdifulde mål. Eksempelvis skal brugeren narres til aktivt at tillade WebUSB-adgang til Yubi-nøglen, og derefter skal der klikkes på den fysiske knap på nøglen i forbindelse med login-processen på et phishing-site.

Men det er ikke uladsiggørligt, mener Michele Orrù.

»Man kan godt levere en rimelig troværdig kontekst,« siger Orrù ifølge Wired og bemærker:

»Brugeren skal bare klikke en enkelt gang.«

Forskerne påpeger, at angrebsteknikken kun kan bruges mod U2F-nøgler, der indeholder protokoller til at kommunikere med browseren på anden vis end den almindelige U2F-kommunikation. Derfor er andre Yubi-nøgler fra Yubico end Neo ikke berørte af problematikken. Blandt nøgler, der ikke har problemet, nævner Wired Yubikey Nano.

Google arbejder på langsigtet løsning

Mediet understreger, at uanset hvad, så er to-faktor-autentifikation, altså som engangskoder på et nøglekort, uendeligt meget sikrere end login alene med brugernavn og adgangskode. Og ifølge Wired er U2F-tokens som dem fra Yubico den sikreste form for 2-faktor-autentifikation.

Produktsikkerhedschef hos Google Christian Brand fortæller, at virksomheden blev opmærksom på angrebsvinklen efter sikkerhedsforskernes præsentation på konferencen i Berlin. Google samarbejder nu med U2F-standardiseringsorganet FIDO Alliance om at løse problemet.

»Vi sætter altid pris på forskeres arbejde med at beskytte vores brugere,« skriver Brand i en udtalelse til Wired og fortsætter:

»På den korte bane kommer vi til at have en imødegåelse (af angrebsteknikken, red.) på plads i en kommende version af Chrome, og vi samarbejder tæt med FIDO Alliance om at udvikle en langtidsholdbar løsning også. Vi er ikke bekendt med beviser på, at sårbarheden er blevet udnyttet.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize