如果您依靠eyeDisk閃存驅動器來存儲密碼和其他敏感數據，請小心

eyeDisk Flash Drive Security Vulnerability

什麼是eyeDisk？它是一個閃存驅動器，可以存儲您的照片，文檔和其他文件。 32GB版本的MSRP為99美元。合乎邏輯的下一個問題是顯而易見的：為什麼它如此令人眼花繚亂？

eyeDisk誕生於Kickstarter活動中，共有246名支持者為該項目捐贈了超過2.1萬美元。必須要說的是，他們被一些非常大膽的主張所吸引。一分半鐘的視頻說，eyeDisk是第一款使用虹膜識別技術保護用戶數據的閃存驅動器，它是保存文檔，項目，個人文件，“最具創新性和生產力”的方式。和“令人尷尬的自拍”安全。 eyeDisk背後的人們還決定在Kickstarter頁面上的一個非常突出的位置加上“unhackable”這個詞。正如我們現在發現的那樣，這是一個非常大的錯誤。

Table of Contents

另一天，聲稱“不可撼動”的另一種設備原來是什麼

去年，來自Pen Test Partners的滲透測試專家正在研究Bitfi--一種硬件比特幣錢包，也被稱為“不可撼動”。雖然Bitfi得到了John McAfee的支持（正如你們中的一些人可能知道的那樣，他們曾經在安全行業工作過），但Pen Test Partners卻很容易破壞了“不可撼動”的說法。

三月份，他們正在玩幾款智能汽車防盜系統。推銷其中一個警報的人們正在追隨Bitfi的腳步，並說他們的產品“不可動搖”。事實證明，該系統非常具有可攻擊性。您可能已經猜到了eyeDisk發生了什麼。

eyeDisk以明文形式存儲和轉發您的密碼

正如我們已經提到的那樣，eyeDisk就像普通的USB閃存驅動器一樣，唯一的例外是它不會讓你訪問你的數據，除非你使用內置的攝像頭掃描你的虹膜，並證明你是一個試圖打開文件。但是，還要求用戶創建密碼，該密碼應作為備份認證機制，以防相機損壞。

Pen Test Partners的David Lodge在3月下旬得到了他的眼睛盤，並立即尋找問題。根據他的說法，他嘗試用自己的虹膜解鎖自己的設備的嘗試大約有三分之一失敗了，這幾乎不是很好，但從好的一面來看，他注意到他無法使用照片或眼睛欺騙系統。他的孩子然而，當他挖得更深時，他注意到一個相當明顯的安全漏洞。

Lodge使用Wireshark來嗅探eyeDisk與其插入的計算機之間交換的信息包。他驚訝地發現，在嘗試解鎖設備時，eyeDisk會以明文形式將密碼發送到PC。無論攻擊者是否擁有正確的密碼，都會觀察到該行為，並且違規數據包還包含Lodge懷疑可能是所有者虹膜數據的MD5哈希值. 結果是，如果eyeDisk設備落入壞人手中，它可以相對容易地解鎖，並且其內部的數據可能被暴露。

遵循公認的負責任的披露做法，David Lodge在4月初發現漏洞後立即與eyeDisk的開發人員取得聯繫。雖然他們確實花了很多時間，但負責不完全不可動搖的USB驅動器的人承認了這個問題，並告訴洛奇他們會修復它。他們沒有做的是為補丁提供任何類型的截止日期，並且在沒有聽到他們一個月後，Pen Test Partners決定應該公開報告該漏洞。