Kripto varlıklarınızı korumak için YubiKey kullanıyorsanız, dikkatli olun! Uzmanlar, bu popüler güvenlik anahtarında ömür boyu kapanmayacak bir zafiyet keşfetti. Peki, YubiKey nedir ve bu açık neden önemlidir?
YubiKey Nedir?
FIDO Alliance tarafından geliştirilen YubiKey, USB boyutunda bir kimlik doğrulama aygıtıdır. 2 faktörlü ve FIDO2 doğrulama protokollerini destekleyerek, kripto para cüzdanlarınızı güvende tutmanızı sağlar. Soğuk cüzdanların şifrelerini korumak için tasarlanmış bir versiyonu da bulunmaktadır. Offline çalışır, telefona bağımlı olmadan, sadece anahtara dokunarak giriş yapabilmenizi sağlar. Bu sayede, borsa şifrelerinizi veya özel anahtarlarınızı güvensiz ortamlarda saklamanız gerekmez. NFC özelliği ile telefonunuza da dokundurarak kullanabilirsiniz. Ayrıca, bilgisayarınıza giriş yaparken de YubiKey’inizi anahtar olarak ayarlayabilirsiniz, böylece cihaz sizin elinizdeyken bilgisayarınıza fiziksel olarak giriş yapılamaz. Lastpass, Google Şifre Yöneticisi gibi uygulamalarla da uyumlu olan bu aygıt, sadece kripto para hesaplarınız için değil, tüm hesaplarınız için kullanılabilir. Ekstra güvenlik için kullanıcılar, birini aktif kullanırken diğerini yedek olarak kullanmak üzere iki YubiKey alabilirler.
YubiKey Güvenlik Açığı
Her şey mükemmel gibi görünse de, birlikte yaşamaya alışmanız gereken önemli bir güvenlik açığı keşfedildi. Siber güvenlik uzmanları, YubiKey’de cihazın klonlanmasına imkan tanıyan bir zafiyet keşfetti. Bu açık, neredeyse tüm YubiKey ürünlerinde kullanılan Infineon kripto kütüphanesinde bulunuyor. Etkilenen ürünler arasında YubiKey 5, Yubikey Bio, Security Key ve YubiHSM 2 bulunmaktadır. Yubico, bu güvenlik zafiyetinin orta düzeyde olduğunu ve istismar edilmesinin zor olduğunu belirtti. Ancak, saldırganın YubiKey’ye fiziksel olarak sahip olması, hedeflediği hesaplar hakkında bilgi sahibi olması ve özel ekipmana ihtiyacı olması gerekiyor. Saldırgan, ek olarak kullanıcı adı, PIN, hesap şifresi veya kimlik doğrulama anahtarı gibi bilgilere de ihtiyaç duyabilir.
YubiKey’de Ömür Boyu Kapanmayacak Güvenlik Açığı
Bu zafiyet, 5.7 sürümünden önceki tüm YubiKey 5 cihazlarını (veya Bio serisi için 5.7.2 ve YubiHSM 2 için 2.4.0) ömür boyu etkileyecektir. Ancak, sonraki modeller Infineon kripto kütüphanesini kullanmadıkları için bu zafiyetten etkilenmiyor. Bu durum, büyük miktarda varlığa sahip yatırımcılar için endişe verici olabilir, çünkü devlet destekli saldırılar veya hedef odaklı saldırılar, bu zafiyeti istismar ederek büyük miktarda varlığa erişmeyi hedefleyebilir.
YubiKey, kripto varlıklarınızı güvenli tutmak için popüler bir araç olsa da, ömür boyu kapanmayacak bir zafiyet, kullanıcıları endişelendiriyor. Bu zafiyetin istismar edilmesinin zor olduğu belirtilse de, özellikle büyük miktarda varlığa sahip yatırımcıların dikkatli olması ve güvenlik önlemlerini güçlendirmesi gerekiyor.