PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182


Duo peneliti keamanan asal Prancis telah menemukan kerentanan dalam chip yang digunakan di dalam kunci keamanan perangkat keras Google Titan dan YubiKey.

Kerentanan tersebut memungkinkan pelaku ancaman untuk memulihkan kunci enkripsi yang digunakan oleh kunci keamanan perangkat keras dalam menghasilkan token kriptografi untuk operasi otentikasi dua faktor (2FA).

Setelah diperoleh, kedua peneliti keamanan tersebut mengatakan bahwa private key ECDSA akan memungkinkan pelaku ancaman untuk mengkloning Titan, YubiKey, dan kunci lainnya untuk melewati prosedur 2FA.

Namun, meski serangan itu terdengar berbahaya bagi pemilik kunci keamanan, tingkat keparahannya tidak seperti yang terlihat.

Dalam laporan penelitian yang diterbitkan, Victor Lomne dan Thomas Roche, peneliti NinjaLab yang berbasis di Montpellier, menjelaskan seluk-beluk serangan tersebut, yang juga dilacak sebagai CVE-2021-3011.

Sebagai permulaan, serangan tidak bisa bekerja dari jarak jauh terhadap perangkat, melalui internet, atau melalui jaringan lokal. Untuk mengeksploitasi kerentanan dalam kunci keamanan Google Titan atau Yubico ini, penyerang harus terlebih dahulu mendapatkan akses fisik ke kunci keamanan.

Untuk mencuri perangkat dalam sementara waktu dan kemudian mengembalikannya bukanlah hal yang mustahil, yang berarti serangan ini tidak dapat sepenuhnya dikesampingkan atau diabaikan.

Lomne dan Roche berpendapat bahwa ada perlindungan tak terduga lainnya yang disertakan dengan kunci Google Titan, dalam bentuk casing kunci.

Casing plastiknya merupakan dua bagian yang direkatkan dengan kuat, dan tidak mudah memisahkannya dengan pisau, pemotong atau pisau bedah,” kata para peneliti.

Kami menggunakan hot air gun untuk melembutkan plastik, dan agar dapat dengan mudah memisahkan dua bagian selubung dengan pisau bedah. Prosedurnya mudah dilakukan dan, dilakukan dengan hati-hati, memungkinkan untuk menjaga keamanan Printed Circuit Board (PCB),” peneliti menambahkan.

Lomne dan Roche juga menunjukkan bahwa “satu bagian casing, melunak karena penerapan udara panas,” dan biasanya berubah bentuk secara permanen, membuat penyerang dalam posisi tidak dapat menyatukan kembali kunci keamanan setelah mereka mendapatkan kunci enkripsi, kecuali jika mereka mempunyai model casing cetak 3D untuk menggantikan yang aslinya.

(Gambar: NinjaLab)

Tapi begitu casing dibuka dan penyerang memiliki akses ke chip kunci keamanan, peneliti mengatakan mereka kemudian dapat melakukan serangan side-channel.

Istilah tersebut menggambarkan serangan di mana pelaku ancaman mengamati sistem komputer dari luar, merekam aktivitasnya, dan kemudian menggunakan pengamatan mereka tentang bagaimana aktivitas perangkat berfluktuasi untuk menyimpulkan detail tentang apa yang terjadi di dalam.

Dalam kasus ini, untuk serangan side-channel mereka, para peneliti NinjaLab menganalisis radiasi elektromagnetik yang keluar dari chip saat memproses operasi kriptografi.


Para peneliti mengatakan bahwa dengan mempelajari sekitar 6.000 operasi yang terjadi pada mikrokontroler NXP A7005a, chip yang digunakan di dalam kunci keamanan Google Titan, mereka dapat merekonstruksi kunci enkripsi ECDSA utama yang digunakan untuk menandatangani setiap token kriptografi yang pernah dibuat di perangkat.

Kabar baik bagi pemilik Titan dan YubiKey adalah proses ini biasanya membutuhkan waktu berjam-jam untuk dijalankan, membutuhkan peralatan yang mahal, dan perangkat lunak khusus. Selain itu, satu kunci ECDSA per layanan online dapat dipulihkan dengan prosedur ini. Semakin banyak kunci yang diinginkan penyerang, semakin banyak waktu yang dibutuhkan.

(Gambar: NinjaLab)

Biasanya, jenis serangan ini berada di luar jangkauan peretas biasa, tetapi peneliti keamanan memperingatkan bahwa pelaku ancaman tertentu, seperti badan intelijen, biasanya memiliki kemampuan untuk melakukan ini.

Pengguna yang menghadapi ancaman seperti itu mungkin harus beralih ke kunci keamanan perangkat keras FIDO U2F lainnya, di mana belum ada kerentanan yang ditemukan,” kata Lemne dan Roche.

Baca Juga: “Google Ungkap Kerentanan Dalam Bluetooth Titan Security Key

Mengenai apa yang rentan, para peneliti mengatakan mereka menguji serangan mereka pada chip NXP A7005a, yang saat ini digunakan untuk model kunci keamanan berikut:

  • Google Titan Security Key (semua versi)
  • Yubico Yubikey Neo
  • Feitian FIDO NFC USB-A / K9
  • Feitian MultiPass FIDO / K13
  • Feitian ePass FIDO USB-C / K21
  • Feitian FIDO NFC USB-C / K40

Selain itu, serangan juga bekerja pada chip JavaCard NXP, biasanya digunakan untuk kartu pintar, seperti J3A081, J2A081, J3A041, J3D145_M59, J2D145_M59, J3D120_M60, J3D082_M60, J2D120_M60, J2D082_M60, J3D081_M59, J2D081_M59, J3D081_M61, J2D081_M61, J3D081_M59_DF, J3D081_M61_DF, J3E081_M64, J3E081_M66, J2E081_M64, J3E041_M66, J3E016_M66, J3E016_M64, J3E041_M64, J3E145_M64, J3E120_M65, J3E082_M65, J2E145_M64, J2E120_M65, J2E082_M65, J3E081_M64_DF, J3E081_M66_DF, J3E041_M66_DF, J3E016_M66_DF, J3E041_M64_DF, dan J3E016_M64_DF.

Dihubungi lewat email, Google menggemakan temuan tim peneliti, bahwa serangan ini sulit dilakukan dalam keadaan normal.

Selain itu, Google juga menambahkan bahwa layanan kunci keamanannya juga mampu mendeteksi klon menggunakan fitur sisi server yang disebut penghitung FIDO U2F, yang juga direkomendasikan oleh tim NinjaLab sebagai tindakan balasan yang baik atas serangan di makalah mereka. Namun, tim peneliti juga menunjukkan bahwa meskipun penghitung digunakan, ada rentang waktu yang singkat setelah klon dibuat dan ketika klon masih dapat digunakan.

Meskipun demikian, sebagai catatan penutup, para peneliti keamanan Prancis juga mendesak pengguna untuk terus menggunakan kunci keamanan FIDO U2F berbasis perangkat keras, seperti Titan dan YubiKey, terlepas dari temuan mereka. Sebaliknya, pengguna harus mengambil tindakan pencegahan untuk melindungi perangkat jika mereka yakin bahwa mereka mungkin menjadi target minat pelaku ancaman.


Muhammad Zaky Zulfiqor

Just a simple person who like photography, videography, code, and cyber security enthusiast.