Testeren ser uhackbar påstand på USB-flashdrev

Når det unhackable bliver hackbart, ved du, at der vil være masser af støj. Eksempel:eyeDisk USB-flashdrevet. Adgangskoder afsløret i klartekst blev opdaget.

ZDNet og adskillige andre websteder var på historien i fredags. Forsker David Lodge, Pen Test Partners, fandt, at sikkerhedsniveauet i eyeDisk ikke matchede kravet.

"Det er derfor, vi skabte eyeDisk, verdens første USB-flashdrev, der bruger iris-genkendelsesteknologi til uovertruffen datasikkerhed, " havde dets hold sagt. Også, de sagde, "eyeDisk kan bruges offline uden krav til internetforbindelse, og softwaren vil ikke gemme eller overføre dine irismønstre, adgangskoder, eller enhver anden information til enhver online lokation, nogensinde. "

Enheden er afhængig af irisgenkendelse. Projektet havde rejst midler på Kickstarter. UK-baserede Pen Test Partners, som laver penetrationstest, besluttede at undersøge eyeDisks påstande.

Som det viste sig, Pen Test Partners udsendte en sårbarhedsrådgivning torsdag, indsendt af David Lodge.

"Sidste år, på den tid, vi rodede rundt med en næsten uhørt hardware-pung, blev vi en smule begejstrede for ordet 'unhackable'. Kort fortalt, Jeg endte med at støtte et udvalg af kickstartere, der havde ordet "unhackable eller lignende i deres titel."

Charlie Osborne, ZDNet , rapporterede, hvad der skete, da Lodge prøvede det:"Efter at have sat eyeDisk i en virtuel Windows-maskine (VM), forskeren fandt, at produktet kom op som et USB-kamera, en skrivebeskyttet flashlydstyrke, og en flytbar medievolumen." Osborne sagde, at det var muligt "at få adgangskoden/hashen, i klartekst, ved blot at snuse USB-trafikken."

Lodge havde valgt, plukket, plukket komponenter fra hinanden, indtil vi nåede frem til en forståelse:"Hvad vi har her er, bogstaveligt talt, en USB-stick med en hub og kamera tilsluttet. Det betyder, at de fleste hjerner er i softwaren.

Lodge udtalte, at "at få adgangskoden/iris kan opnås ved blot at snuse til USB-trafikken for at få adgangskoden/hashen i klartekst."

Zack Whittaker ind TechCrunch :"Pen Test Partners-forsker David Lodge fandt ud af, at enhedens backup-adgangskode - for at få adgang til data i tilfælde af enhedens fejl eller en pludselig øjensulykke - nemt kunne fås ved hjælp af et softwareværktøj, der er i stand til at sniffe USB-enhedstrafik."

Lodge kommenterede "en meget dårlig tilgang" i betragtning af påstande om, at den var uhackelig. "Softwaren indsamler først adgangskoden, validerer derefter den brugerindtastede adgangskode, FØR du sender oplåsningsadgangskoden."

Flashdrevet siges at bruge iris-genkendelsesteknologi sammen med AES-256-kryptering.

Hvad er det næste? Her er tidslinjen, som Lodge leverede. 9. april sælger anerkender og rådgiver, at de vil rette - ingen dato angivet; 9. april spørger, hvornår de forventer at rette, underrette kunder og sætte distribution på pause på grund af grundlæggende sikkerhedsproblem. Anbefalet offentliggørelsesdato 9. maj 2019 – intet svar; 8. maj sidste jagt før afsløring; 9. maj offentliggjort.

Hacking-trætte spejder vil sandsynligvis være enige i Lodges råd som take-home. "Vores råd til leverandører, der ønsker at hævde, at deres enhed ikke kan hackes, hold op, det er en enhjørning."

© 2019 Science X Network