Lorsque l'unhackable devient hackable, vous savez qu'il y aura beaucoup de bruit. Exemple :la clé USB eyeDisk. Des mots de passe exposés en clair ont été découverts.
ZDNet et de nombreux autres sites étaient sur l'histoire vendredi. Chercheur David Lodge, Partenaires de test de stylo, a trouvé que le niveau de sécurité dans eyeDisk ne correspondait pas à la demande.
"C'est pourquoi nous avons créé eyeDisk, la première clé USB au monde qui utilise la technologie de reconnaissance de l'iris pour une sécurité des données imbattable, " avait dit son équipe. Aussi, ils ont dit, "eyeDisk peut être utilisé hors ligne sans aucune exigence de connexion Internet et le logiciel ne stockera ni ne transmettra vos motifs d'iris, mots de passe, ou toute autre information à n'importe quel emplacement en ligne, déjà. "
L'appareil repose sur la reconnaissance de l'iris. Le projet avait levé des fonds sur Kickstarter. Partenaires Pen Test basés au Royaume-Uni, qui fait des tests d'intrusion, a décidé d'examiner les réclamations d'eyeDisk.
Comme ça s'est apparu, Pen Test Partners a publié un avis de vulnérabilité jeudi, posté par David Lodge.
"L'année dernière, à peu près à l'époque où nous étions en train de jouer avec un portefeuille matériel pratiquement inédit, nous étions un peu enthousiasmés par le mot « unhackable ». Longue histoire courte, J'ai fini par soutenir une sélection de kickstarters qui avaient le mot "unhackable ou similaire dans leur titre".
Charlie Osborne, ZDNet , a rapporté ce qui s'est passé lorsque Lodge l'a essayé :« Après avoir branché l'eyeDisk sur une machine virtuelle Windows (VM), le chercheur a découvert que le produit était une caméra USB, un volume flash en lecture seule, et un volume de support amovible." Osborne a déclaré qu'il était possible " d'obtenir le mot de passe/hash, en texte clair, en reniflant simplement le trafic USB."
Lodge avait choisi, choisi, des composants séparés jusqu'à parvenir à une entente :« Ce que nous avons ici, c'est, au sens propre, une clé USB avec un concentrateur et une caméra connectés. Cela signifie que la plupart des cerveaux sont dans le logiciel.
Lodge a déclaré que "l'obtention du mot de passe/iris peut être obtenue en reniflant simplement le trafic USB pour obtenir le mot de passe/le hachage en texte clair".
Zack Whittaker dans TechCrunch :« Le chercheur de Pen Test Partners, David Lodge, a découvert que le mot de passe de sauvegarde de l'appareil, permettant d'accéder aux données en cas de panne de l'appareil ou d'accident soudain, pouvait être facilement obtenu à l'aide d'un outil logiciel capable de détecter le trafic des périphériques USB. »
Lodge a commenté "une très mauvaise approche" étant donné qu'elle était impossible à pirater. "Le logiciel collecte d'abord le mot de passe, puis valide le mot de passe saisi par l'utilisateur AVANT d'envoyer le mot de passe de déverrouillage."
Le lecteur flash utiliserait la technologie de reconnaissance de l'iris en tandem avec le cryptage AES-256.
Et après? Voici le calendrier fourni par Lodge. Le vendeur du 9 avril reconnaît et informe qu'il corrigera - aucune date donnée ; Le 9 avril, demandez quand ils prévoient de réparer, notifier les clients et suspendre la distribution en raison d'un problème de sécurité fondamental. Date de divulgation publique conseillée le 9 mai 2019 – pas de réponse ; Chasse finale du 8 mai avant la divulgation ; 9 mai divulgué.
Les détectives fatigués du piratage seraient probablement d'accord avec les conseils de Lodge en tant que point à retenir. "Notre conseil aux vendeurs qui souhaitent faire valoir que leur appareil est inviolable, arrêter, c'est une licorne."
© 2019 Réseau Science X