如果您依靠eyeDisk闪存驱动器来存储密码和其他敏感数据，请小心

eyeDisk Flash Drive Security Vulnerability

什么是eyeDisk？它是一个闪存驱动器，可以存储您的照片，文档和其他文件。 32GB版本的MSRP为99美元。合乎逻辑的下一个问题是显而易见的：为什么它如此令人眼花缭乱？

eyeDisk诞生于Kickstarter活动中，共有246名支持者为该项目捐赠了超过2.1万美元。必须要说的是，他们被一些非常大胆的主张所吸引。一分半钟的视频说，eyeDisk是第一款使用虹膜识别技术保护用户数据的闪存驱动器，它是保存文档，项目，个人文件，“最具创新性和生产力”的方式。和“令人尴尬的自拍”安全。 eyeDisk背后的人们还决定在Kickstarter页面上的一个非常突出的位置加上“unhackable”这个词。正如我们现在发现的那样，这是一个非常大的错误。

Table of Contents

另一天，声称“不可撼动”的另一种设备原来是什么

去年，来自Pen Test Partners的渗透测试专家正在研究Bitfi--一种硬件比特币钱包，也被称为“不可撼动”。虽然Bitfi得到了John McAfee的支持（正如你们中的一些人可能知道的那样，他们曾经在安全行业工作过），但Pen Test Partners却很容易破坏了“不可撼动”的说法。

三月份，他们正在玩几款智能汽车防盗系统。推销其中一个警报的人们正在追随Bitfi的脚步，并说他们的产品“不可动摇”。事实证明，该系统非常具有可攻击性。您可能已经猜到了eyeDisk发生了什么。

eyeDisk以明文形式存储和转发您的密码

正如我们已经提到的那样，eyeDisk就像普通的USB闪存驱动器一样，唯一的例外是它不会让你访问你的数据，除非你使用内置的摄像头扫描你的虹膜，并证明你是一个试图打开文件。但是，还要求用户创建密码，该密码应作为备份认证机制，以防相机损坏。

Pen Test Partners的David Lodge在3月下旬得到了他的眼睛盘，并立即寻找问题。根据他的说法，他尝试用自己的虹膜解锁自己的设备的尝试大约有三分之一失败了，这几乎不是很好，但从好的一面来看，他注意到他无法使用照片或眼睛欺骗系统。他的孩子然而，当他挖得更深时，他注意到一个相当明显的安全漏洞。

Lodge使用Wireshark来嗅探eyeDisk与其插入的计算机之间交换的信息包。他惊讶地发现，在尝试解锁设备时，eyeDisk会以明文形式将密码发送到PC。无论攻击者是否拥有正确的密码，都会观察到该行为，并且违规数据包还包含Lodge怀疑可能是所有者虹膜数据的MD5哈希值. 结果是，如果eyeDisk设备落入坏人手中，它可以相对容易地解锁，并且其内部的数据可能被暴露。

遵循公认的负责任的披露做法，David Lodge在4月初发现漏洞后立即与eyeDisk的开发人员取得联系。虽然他们确实花了很多时间，但负责不完全不可动摇的USB驱动器的人承认了这个问题，并告诉洛奇他们会修复它。他们没有做的是为补丁提供任何类型的截止日期，并且在没有听到他们一个月后，Pen Test Partners决定应该公开报告该漏洞。