Wanneer het onhackbare hackable wordt, weet je dat er veel lawaai zal zijn. Voorbeeld:de eyeDisk USB-flashdrive. Er werden wachtwoorden ontdekt in leesbare tekst.

ZDNet en tal van andere sites waren tegen vrijdag op het verhaal. Onderzoeker David Lodge, Pentestpartners, ontdekte dat het beveiligingsniveau in eyeDisk niet overeenkwam met de claim.

"Daarom hebben we eyeDisk gemaakt, 's werelds eerste USB-flashdrive die irisherkenningstechnologie gebruikt voor ongeëvenaarde gegevensbeveiliging, " had zijn team gezegd. Ook ze zeiden, "eyeDisk kan offline worden gebruikt zonder enige internetverbinding en de software zal uw irispatronen niet opslaan of verzenden, wachtwoorden, of enige andere informatie naar een online locatie, ooit. "

Het apparaat vertrouwt op irisherkenning. Het project had geld ingezameld op Kickstarter. in het VK gevestigde partners voor pentesten, die penetratietesten doet, besloten de beweringen van eyeDisk te onderzoeken.

Zoals later bleek, Pen Test Partners heeft donderdag een kwetsbaarheidsadvies uitgegeven, geplaatst door David Lodge.

"Vorig jaar, over de tijd dat we aan het rommelen waren met een vrijwel ongehoorde hardware wallet werden we een beetje enthousiast over het woord 'unhackable'. Om een ​​lang verhaal kort te maken, Uiteindelijk heb ik een selectie van kickstarters ondersteund die het woord 'onhackbaar of iets dergelijks' in hun titel hadden.

Charlie Osborne, ZDNet , meldde wat er gebeurde toen Lodge het uitprobeerde:"Na het aansluiten van de eyeDisk op een virtuele Windows-machine (VM), de onderzoeker ontdekte dat het product op de markt kwam als een USB-camera, een alleen-lezen flitsvolume, en een verwijderbaar mediavolume." Osborne zei dat het mogelijk was "om het wachtwoord/de hash te verkrijgen, in duidelijke tekst, door simpelweg het USB-verkeer te snuiven."

Lodge had uitgekozen, geplukt, componenten uit elkaar gehaald totdat ze een begrip bereikten:"Wat we hier hebben is, letterlijk, een USB-stick met daarop een hub en camera. Dat betekent dat de meeste hersenen in de software zitten.

Lodge verklaarde dat "het verkrijgen van het wachtwoord/de iris kan worden bereikt door simpelweg het USB-verkeer te snuiven om het wachtwoord/de hash in leesbare tekst te krijgen."

Zack Whittaker in TechCrunch :"Pen Test Partners-onderzoeker David Lodge ontdekte dat het back-upwachtwoord van het apparaat - om toegang te krijgen tot gegevens in het geval van een apparaatstoring of een plotselinge oogbeschadiging - gemakkelijk kon worden verkregen met behulp van een softwaretool die USB-apparaatverkeer kan detecteren."

Lodge gaf commentaar op "een zeer slechte aanpak", gezien de bewering dat het niet te hacken was. "De software verzamelt eerst het wachtwoord, valideert vervolgens het door de gebruiker ingevoerde wachtwoord VOORDAT het ontgrendelingswachtwoord wordt verzonden."

De flashdrive zou irisherkenningstechnologie gebruiken in combinatie met AES-256-codering.

Wat is het volgende? Hier is de tijdlijn die Lodge heeft verstrekt. 9 april-verkoper erkent en adviseert dat ze het zullen repareren - geen datum gegeven; 9 april vragen wanneer ze verwachten te repareren, klanten informeren en de distributie onderbreken vanwege een fundamenteel beveiligingsprobleem. Geadviseerde openbaarmakingsdatum 9 mei 2019 - geen reactie; 8 mei laatste achtervolging voor onthulling; 9 mei bekendgemaakt.

Hacking-vermoeide speurneuzen zouden het waarschijnlijk eens zijn met het advies van Lodge als de take-home. "Ons advies aan leveranciers die willen claimen dat hun apparaat onhackbaar is, stop, het is een eenhoorn."

© 2019 Wetenschap X Netwerk