В минувшие выходные ИБ-специалист Маркус Вервье (Marcus Vervier) и его коллега Мишель Орру (Michele Orru) опубликовали рассказ о том, как разработчики Yubico скопировали их исследовательскую работу об уязвимости, которая позволяла злоумышленникам похищать чужие коды двухфакторной аутентификации. В феврале 2018 года исследователи рассказывали об этой проблеме на конференции OffensiveCon, и их доклад можно увидеть ниже.
Суть проблемы заключается в следующем. USB-токен YubiKey, производства компании Yubico, может быть зарегистрирован, например, для аккаунта Facebook. То есть каждый раз, когда пользователю нужно залогиниться в социальную сеть, он набирает пароль, подключает к машине YubiKey и нажимает специальную кнопку на нем, после чего осуществляется безопасный вход в учетную запись.
При этом YubiKey осуществит передачу токена двухфакторной аутентификации лишь после того, как убедится, что браузер действительно открыт на странице facebook.com. Для верификции запрашиваемого сайта используется протокол U2F.
Специалисты обнаружили, что обмануть процедуру двухфакторной аутентификации можно при помощи WebUSB. Данный проект, представленный инженерами Google в 2016 году, призван помочь любым USB-девайсам, будь то мышь, камера, флешка или что-то еще, беспрепятственно общаться с веб-страницами. Исследователи научились создавать специальный веб-страницы, который выдавали себя за легитимные сайты (такие как facebook.com) и все равно могли получать информацию от YubiKey. Фактически такие фишинговые ресурсы могли использоваться для выманивания у жертвы ее логина, пароля, а также кода двухфакторной аутентификации.
Стоит подчеркнуть, что проблема заключалась не в самих устройствах Yubico, да сама идея WebUSB в целом кажется многим специалистам по безопасности весьма скверной.
Когда эксперты выступили с докладом о баге на OffensiveCon, с ними связались представители Yubico и запросили больше информации. В итоге на прошлой неделе произошел очень странный конфуз.
Дело в том, что представители Yubico опубликовали собственный доклад, посвященный эксплуатации WebUSB для хищения кодов двухфакторной аутентификации. В отчете инженеры компании сообщили, что уведомили об уязвимости разработчиков Google Chromium и получили от компании 5000 долларов, в рамках программы выплаты вознаграждений на уязвимости (нужно заметить, что вознаграждение потратили на благотворительность). В Google представители Yubico обратились в силу того, что проблема представляла угрозу для Android и Chromium.
Однако в отчете Yubico вообще не были упомянуты имена Вервье и Орру, а также не было приведено ни одной ссылки на них. В Yubico ограничились туманной формулировкой, гласившей, что изыскания базируются на некой оригинальной научной работе, которая была не совсем верна, но инженеры компании ее доработали.
При этом Вервье и Орру тоже пытались проинформировать о проблеме Google, однако не получили ответа на свой запрос. Как оказалось, их попросту опередили сотрудники Yubico, успевшие первыми оформить информацию об уязвимости по всем правилам.
«Yubico воспроизвели нашу работу внутри компании, связались с нами, чтобы собрать больше информации и узнать [детали], которые мы еще не обнародовали, попросили помощи в создании PoC-эксплоита, но не сообщили нам ничего о своих намерениях? — пишет раздосадованный Вервье. — Затем они пошли в Google, два дня спустя добавили полномасштабный анализ, заявляя, что это новый, оригинальный контент, и заработали на этом 5000 долларов вознаграждения.
Я всегда был сторонником сотрудничества с производителями ради устранения проблем, но такие случаи как этот, заставляют меня задуматься о том, почему люди “накапливающие” у себя эксплоиты, публикующие информацию [без согласования с производителями] и продающие эксплоиты за деньги живут беззаботной и успешной жизнью».
После того как случившееся стало достоянием общественности и на инцидент обратило внимание как ИБ-сообщество, так и СМИ, в Yubico были вынуждены принести извинения обоим специалистам. Представители компании признали, что не указать Вервье и Орру, как авторов оригинального исследования, было неправильно. Теперь их имена задним числом добавлены в официальный отчет компании.
«Исследование Маркуса и Мишеля послужило для нас критически важным фундаментом, и мы совершили ошибку, не обозначив их, как авторов оригинального исследования в нашем докладе. Лишь 13 июня 2018 года, уже после публикации, мы осознали, что Маркус и Мишель тоже обнаружили проблемы HID и сообщили о них в Google. Мы понимаем, что после исправления проблемы нужно было поддерживать связь лучше, чтобы убедиться, что все стороны находятся “на одной волне”», — пишут представители Yubico.