如果您依靠eyeDisk閃存驅動器來存儲密碼和其他敏感數據,請小心

eyeDisk Flash Drive Security Vulnerability

什麼是eyeDisk?它是一個閃存驅動器,可以存儲您的照片,文檔和其他文件。 32GB版本的MSRP為99美元。合乎邏輯的下一個問題是顯而易見的:為什麼它如此令人眼花繚亂?

eyeDisk誕生於Kickstarter活動中 ,共有246名支持者為該項目捐贈了超過2.1萬美元。必須要說的是,他們被一些非常大膽的主張所吸引。一分半鐘的視頻說,eyeDisk是第一款使用虹膜識別技術保護用戶數據的閃存驅動器,它是保存文檔,項目,個人文件,“最具創新性和生產力”的方式。和“令人尷尬的自拍”安全。 eyeDisk背後的人們還決定在Kickstarter頁面上的一個非常突出的位置加上“unhackable”這個詞。正如我們現在發現的那樣,這是一個非常大的錯誤。

另一天,聲稱“不可撼動”的另一種設備原來是什麼

去年,來自Pen Test Partners的滲透測試專家正在研究Bitfi--一種硬件比特幣錢包,也被稱為“不可撼動”。雖然Bitfi得到了John McAfee的支持(正如你們中的一些人可能知道的那樣,他們曾經在安全行業工作過),但Pen Test Partners卻很容易破壞了“不可撼動”的說法。

三月份,他們正在玩幾款智能汽車防盜系統。推銷其中一個警報的人們正在追隨Bitfi的腳步,並說他們的產品“不可動搖”。 事實證明 ,該系統非常具有可攻擊性。您可能已經猜到了eyeDisk發生了什麼。

eyeDisk以明文形式存儲和轉發您的密碼

正如我們已經提到的那樣,eyeDisk就像普通的USB閃存驅動器一樣,唯一的例外是它不會讓你訪問你的數據,除非你使用內置的攝像頭掃描你的虹膜,並證明你是一個試圖打開文件。但是,還要求用戶創建密碼,該密碼應作為備份認證機制,以防相機損壞。

Pen Test Partners的David Lodge在3月下旬得到了他的眼睛盤,並立即尋找問題 。根據他的說法,他嘗試用自己的虹膜解鎖自己的設備的嘗試大約有三分之一失敗了,這幾乎不是很好,但從好的一面來看,他注意到他無法使用照片或眼睛欺騙系統。他的孩子然而,當他挖得更深時,他注意到一個相當明顯的安全漏洞。

Lodge使用Wireshark來嗅探eyeDisk與其插入的計算機之間交換的信息包。他驚訝地發現,在嘗試解鎖設備時,eyeDisk會以明文形式將密碼發送到PC。無論攻擊者是否擁有正確的密碼,都會觀察到該行為,並且違規數據包還包含Lodge懷疑可能是所有者虹膜數據的MD5哈希值. 結果是,如果eyeDisk設備落入壞人手中,它可以相對容易地解鎖,並且其內部的數據可能被暴露。

遵循公認的負責任的披露做法,David Lodge在4月初發現漏洞後立即與eyeDisk的開發人員取得聯繫。雖然他們確實花了很多時間,但負責不完全不可動搖的USB驅動器的人承認了這個問題,並告訴洛奇他們會修復它。他們沒有做的是為補丁提供任何類型的截止日期,並且在沒有聽到他們一個月後,Pen Test Partners決定應該公開報告該漏洞。

我們可以從中學到什麼?

如果您擁有eyeDisk,則可能需要仔細考慮放在設備上的文件類型。正如我們已經提到的那樣,攻擊並不困難,所有必需的信息現在都是公開的。 Pen Test Partners建議,如果您要使用eyeDisk存儲任何類型的敏感信息,最好事先加密數據

對於試圖銷售安全設備和應用程序的供應商來說,還有一個簡單而有力的教訓。停止稱你的產品“不可動搖”。

May 23, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
10 + 3是什麼?