Hackers copiam chaves 2FA da Google, Yubico e Feitian

13-01-2021

À semelhança do que acontece com as chaves físicas das portas, também as chaves físicas 2FA só são seguras se forem mantidas a salvo de potenciais atacantes.

Hoje em dia é praticamente imprescindível recorrer a sistemas 2FA para manter as contas digitais em segurança, e os que levam a segurança mesmo a sério normalmente optam por usar chaves 2FA físicas, como as chaves Titan da Google, as YubuKeys, ou equivalentes. Só que, nem essas chaves dão garantia de segurança absoluta, como agora foi demonstrado.

Hackers conseguiram tirar partido de uma vulnerabilidade nos chips NXP usados nestas chaves, e com isso conseguiram replicá-las para criar novas chaves idênticas à original.

A única parte boa é que este ataque não é algo que possa ser feito em segundos ou minutos: são necessárias muitas horas, e praticamente “destruir” a chave original para se ter acesso ao chip no seu interior, para além de equipamento de cerca de 10 mil euros - e o respectivo conhecimento técnico para levar a cabo o ataque.

De qualquer forma, fica a recomendação de que uma chave que tenha “desaparecido” de forma permanente ou temporariamente seja removida da conta o mais depressa possível, e que se deverá levar a segurança física destas chaves de autenticação ainda mais a sério do que já seria habitual.
(Ptnik)

Desenvolvido por: Suporte Informatica