Yubico · Yubico Yubikey Neo · CVE-2021-3011
**Nome do software vulnerável e versões afetadas**
Microcontroladores de segurança NXP SmartMX / P5x e microcontroladores de autenticação segura A7x, com CryptoLib até a versão 2.9
Chave de segurança Google Titan baseada em um chip NXP A7005a
Yubico YubiKey Neo
Feitian K9, K13, K21 e K40
Cartões inteligentes JavaCard da NXP, incluindo:
J3A081, J2A081, J3A041, J3D145 M59, J2D145 M59, J3D120 M60, J3D082 M60, J2D120 M60, J2D082 M60, J3D081 M59, J2D081 M59, J3D081 M61, J2D081 M61, J3D081 M59 DF, J3D081 M61 DF, J3E081 M64, J3E081 M66, J2E081 M64, J3E041 M66, J3E016 M66, J3E016 M64, J3E041 M64, J3E145 M64, J3E120 M65, J3E082 M65, J2E145 M64, J2E120 M65, J2E082 M65, J3E081 M64 DF, J3E081 M66 DF, J3E041 M66 DF, J3E016 M66 DF, J3E041 M64 DF e J3E016 M64 DF
**Descrição**
Uma vulnerabilidade de canal lateral de ondas eletromagnéticas permite que invasores extraiam a chave privada ECDSA após acesso físico extensivo e, consequentemente, produzam um clone. Essa vulnerabilidade foi demonstrada na chave de segurança Google Titan, baseada em um chip NXP A7005a. Outras chaves de segurança FIDO U2F e vários cartões inteligentes NXP JavaCard também são afetados.
**Recomendações**
Para microcontroladores de segurança NXP SmartMX / P5x e microcontroladores de autenticação segura A7x, com CryptoLib até a versão 2.9, considere desativar a função `checkPassword()` ou restringir o acesso ao módulo `CryptoLib` vulnerável até que um patch esteja disponível.
Para a Chave de Segurança Google Titan baseada no chip NXP A7005a, evite usar o dispositivo para operações confidenciais até que uma correção seja pro