如果您依靠eyeDisk闪存驱动器来存储密码和其他敏感数据,请小心

eyeDisk Flash Drive Security Vulnerability

什么是eyeDisk?它是一个闪存驱动器,可以存储您的照片,文档和其他文件。 32GB版本的MSRP为99美元。合乎逻辑的下一个问题是显而易见的:为什么它如此令人眼花缭乱?

eyeDisk诞生于Kickstarter活动中 ,共有246名支持者为该项目捐赠了超过2.1万美元。必须要说的是,他们被一些非常大胆的主张所吸引。一分半钟的视频说,eyeDisk是第一款使用虹膜识别技术保护用户数据的闪存驱动器,它是保存文档,项目,个人文件,“最具创新性和生产力”的方式。和“令人尴尬的自拍”安全。 eyeDisk背后的人们还决定在Kickstarter页面上的一个非常突出的位置加上“unhackable”这个词。正如我们现在发现的那样,这是一个非常大的错误。

另一天,声称“不可撼动”的另一种设备原来是什么

去年,来自Pen Test Partners的渗透测试专家正在研究Bitfi--一种硬件比特币钱包,也被称为“不可撼动”。虽然Bitfi得到了John McAfee的支持(正如你们中的一些人可能知道的那样,他们曾经在安全行业工作过),但Pen Test Partners却很容易破坏了“不可撼动”的说法。

三月份,他们正在玩几款智能汽车防盗系统。推销其中一个警报的人们正在追随Bitfi的脚步,并说他们的产品“不可动摇”。 事实证明 ,该系统非常具有可攻击性。您可能已经猜到了eyeDisk发生了什么。

eyeDisk以明文形式存储和转发您的密码

正如我们已经提到的那样,eyeDisk就像普通的USB闪存驱动器一样,唯一的例外是它不会让你访问你的数据,除非你使用内置的摄像头扫描你的虹膜,并证明你是一个试图打开文件。但是,还要求用户创建密码,该密码应作为备份认证机制,以防相机损坏。

Pen Test Partners的David Lodge在3月下旬得到了他的眼睛盘,并立即寻找问题 。根据他的说法,他尝试用自己的虹膜解锁自己的设备的尝试大约有三分之一失败了,这几乎不是很好,但从好的一面来看,他注意到他无法使用照片或眼睛欺骗系统。他的孩子然而,当他挖得更深时,他注意到一个相当明显的安全漏洞。

Lodge使用Wireshark来嗅探eyeDisk与其插入的计算机之间交换的信息包。他惊讶地发现,在尝试解锁设备时,eyeDisk会以明文形式将密码发送到PC。无论攻击者是否拥有正确的密码,都会观察到该行为,并且违规数据包还包含Lodge怀疑可能是所有者虹膜数据的MD5哈希值. 结果是,如果eyeDisk设备落入坏人手中,它可以相对容易地解锁,并且其内部的数据可能被暴露。

遵循公认的负责任的披露做法,David Lodge在4月初发现漏洞后立即与eyeDisk的开发人员取得联系。虽然他们确实花了很多时间,但负责不完全不可动摇的USB驱动器的人承认了这个问题,并告诉洛奇他们会修复它。他们没有做的是为补丁提供任何类型的截止日期,并且在没有听到他们一个月后,Pen Test Partners决定应该公开报告该漏洞。

我们可以从中学到什么?

如果您拥有eyeDisk,则可能需要仔细考虑放在设备上的文件类型。正如我们已经提到的那样,攻击并不困难,所有必需的信息现在都是公开的。 Pen Test Partners建议,如果您要使用eyeDisk存储任何类型的敏感信息,最好事先加密数据

对于试图销售安全设备和应用程序的供应商来说,还有一个简单而有力的教训。停止称你的产品“不可动摇”。

May 23, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
5 + 5是什么?