Quando l'inattaccabile diventa hackerabile, sai che ci sarà molto rumore. Caso in questione:l'unità flash USB eyeDisk. Sono state scoperte password esposte in chiaro.

ZDNet e numerosi altri siti erano sulla storia di venerdì. Il ricercatore David Lodge, Partner per il test della penna, ha riscontrato che il livello di sicurezza in eyeDisk non corrispondeva all'affermazione.

"Ecco perché abbiamo creato eyeDisk, la prima unità flash USB al mondo che utilizza la tecnologia di riconoscimento dell'iride per una sicurezza dei dati imbattibile, " aveva detto la sua squadra. Inoltre, loro hanno detto, "eyeDisk può essere utilizzato offline senza alcun requisito di connessione a Internet e il software non memorizzerà o trasmetterà i modelli dell'iride, Le password, o qualsiasi altra informazione a qualsiasi posizione online, mai. "

Il dispositivo si basa sul riconoscimento dell'iride. Il progetto aveva raccolto fondi su Kickstarter. Pen Test Partner con sede nel Regno Unito, che esegue test di penetrazione, deciso di esaminare le affermazioni di eyeDisk.

Come si è scoperto, Pen Test Partners ha emesso un avviso di vulnerabilità giovedì, pubblicato da David Lodge.

"L'anno scorso, nel periodo in cui stavamo scherzando con un portafoglio hardware praticamente inaudito, ci siamo un po' entusiasmati per la parola "non hackerabile". Per farla breve, Ho finito per supportare una selezione di kickstarter che avevano la parola "non hackerabile o simili nel titolo".

Charlie Osborne, ZDNet , ha riferito cosa è successo quando Lodge l'ha provato:"Dopo aver collegato eyeDisk a una macchina virtuale Windows (VM), il ricercatore ha scoperto che il prodotto si presentava come una fotocamera USB, un volume flash di sola lettura, e un volume di supporto rimovibile." Osborne ha detto che era possibile "ottenere la password/hash, con testo chiaro, semplicemente annusando il traffico USB."

Lodge aveva scelto, scelto, smontato componenti fino a raggiungere un'intesa:"Quello che abbiamo qui è, letteralmente, una chiavetta USB con un hub e una fotocamera collegati. Ciò significa che la maggior parte dei cervelli è nel software.

Lodge ha affermato che "l'ottenimento della password/iris può essere ottenuto semplicemente annusando il traffico USB per ottenere la password/l'hash in chiaro".

Zack Whittaker in TechCrunch :"Il ricercatore di Pen Test Partners David Lodge ha scoperto che la password di backup del dispositivo, per accedere ai dati in caso di guasto del dispositivo o di un incidente improvviso, può essere facilmente ottenuta utilizzando uno strumento software in grado di rilevare il traffico del dispositivo USB."

Lodge ha commentato "un approccio molto scadente" dato che era inattaccabile. "Il software raccoglie prima la password, quindi convalida la password inserita dall'utente PRIMA di inviare la password di sblocco."

Si dice che l'unità flash utilizzi la tecnologia di riconoscimento dell'iride in tandem con la crittografia AES-256.

Qual è il prossimo? Ecco la cronologia fornita da Lodge. Il venditore del 9 aprile riconosce e avvisa che fisserà - nessuna data data; 9 aprile chiedi quando si aspettano di aggiustare, informare i clienti e sospendere la distribuzione a causa di problemi di sicurezza fondamentali. Data informativa al pubblico consigliata 9 maggio 2019 – nessuna risposta; 8 maggio inseguimento finale prima della divulgazione; Il 9 maggio divulgato.

Gli investigatori stanchi di hacker sarebbero probabilmente d'accordo con il consiglio di Lodge come porta a casa. "Il nostro consiglio ai fornitori che desiderano dichiarare che il loro dispositivo non è hackerabile, fermare, è un unicorno."

© 2019 Science X Network