Cualquier usuario con acceso a una llave Aladdin eToken, versión
3.3.3.x, puede acceder a buena parte de la información que almacena en
su interior, a pesar de que -teoricamente- ésta está protegida por un
PIN. Adicionalmente, puede hacerse pasar por el usuario legítimo y
conseguir que «eToken» realice operaciones criptográficos para, por
ejemplo, autorizar su acceso a una máquina o firmar un email.
Aladdin eToken es un pequeño dispositivo conectable a un ordenador a
través de USB. En él se almacenan claves, certificados y otros tipos de
información confidencial. Para acceder a dicha información es necesario
disponer del «eToken» (ya que los datos se almacenan en su interior) y
de una clave personal PIN. Teóricamente, por tanto, si se pierde el
«eToken», los datos en su interior siguen a salvo.
La realidad es distinta, ya que cualquiera con acceso físico al «eToken»
puede programar un PIN arbitrario y, por tanto, acceder a los datos
contenidos en el dispositivo. El acceso al interior del dispositivo, por
cierto, no está protegido de ninguna manera. Es más, todos los datos
contenidos en él se almacenan en una memoria serie perfectamente
accesible sin ningún tipo de protección. Se encuentran, no obstante,
cifrados en su mayor parte.
Cada llave «eToken» tiene dos PINs: usuario y administrador. El PIN de
usuario da acceso a los datos, mientras que el PIN del administrador
permite asignar un PIN de usuario nuevo. Aunque las claves se almacenan
cifradas, es posible leerlas y escribir sobre ellas. Escribiendo un
patrón contenido en la propia memoria, un atacante puede fijar el PIN de
usuario o de administrador a su valor por defecto: «0xFFFFFFFFFFFF».
Además de todo tipo de información (incluídos gráficos), el grupo L0pht
ha publicado un programa para volcar el contenido de un «eToken», usando
la clave por defecto.
Más información:
Aladdin Knowledge Systems eToken PIN Extraction Vulnerability
Página con gráficos explicando los pasos uno a uno
«eToken»
Aladdin Knowledge Systems
jcea@hispasec.com
Deja un comentario