Tecnologia

A unidade USB "Unhackable" estava perdendo senhas



Alegar que seu produto "não é adequado para hospedagem" é uma maneira segura de atrair a atenção de pesquisadores de segurança que estão tentando provar que estão errados, o que é exatamente o que aconteceu recentemente no USB eyeDisk.

Em sua campanha no Kickstarter, o eyeDisk afirmou ser uma unidade flash USB "não compatível com armazenamento" que mantém "seus dados digitais bloqueados e seguros, oferecendo acesso apenas" usando a tecnologia de reconhecimento de íris e a criptografia AES -256

A empresa ofereceu mais detalhes sobre como seu drive USB pode se defender contra tentativas de pirataria em sua página do Kickstarter, dizendo:

"Desenvolvemos nosso próprio algoritmo de reconhecimento de íris para que ninguém possa hackear sua unidade USB, mesmo que tenham o padrão de íris. "Dados de íris pessoais usados ​​para identificação nunca serão recuperados ou duplicados, mesmo se o USB for perdido."

Hackeando o insustentável.

De acordo com David Lodge, pesquisador da Pen Test Partners, as alegações "inaceitáveis" do eyeDisk são insuficientes, já que ele foi capaz de contornar as medidas de segurança do dispositivo rapidamente depois de obter uma para si mesmo.

A Lodge começou a testar o dispositivo conectando-o a uma máquina virtual do Windows, na qual a unidade USB aparecia como uma câmera USB, um volume de flash somente leitura e um volume de mídia removível.

Primeiro ele testou o scanner de íris do eyeDisk para ver se ele poderia ser usado para desbloquear constantemente o dispositivo e esta função funcionou como anunciado aproximadamente duas de três vezes. Em seguida, Lodge tentou enganar o dispositivo usando uma imagem de seu filho (que tem um scanner de íris semelhante) para desbloqueá-lo e, mais uma vez, o dispositivo funcionou conforme o planejado.

No entanto, quando o pesquisador começou a examinar o software e a configuração de hardware do eyeDisk, surgiram os problemas reais, já que o dispositivo é essencialmente "um dispositivo USB com um hub e uma câmera conectados". senha ao lado do software de controle.

Lodge usou o analisador de pacotes open source, Wireshark, para ver se ele detectava os pacotes USB enviados pelo dispositivo. Foi então que ele percebeu que o dispositivo "não pode ser tratado" é desbloqueado enviando essas senhas em texto não criptografado. Isso significa que é possível obter a senha / hash em texto simples simplesmente rastreando o tráfego USB enviado do eyeDisk.

Os Pen Test Partners abordaram a equipe do eyeDisk e a empresa forneceu todos os detalhes dos problemas de segurança descobertos para o fabricante que diz que eles estão trabalhando em uma solução para o problema. No entanto, a verdadeira lição aqui é que usar o termo "não adequado para armazenamento" é apenas um convite aberto aos hackers que as empresas devem evitar usar no futuro.

Através do ZDNet



Source link

Artigos relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo