供应商承认许多硬件加密的USB记忆棒含有一种危险的缺陷,使他们很容易破解的目标,更多的人可能是脆弱的
一些硬件加密的USB记忆棒,现在是一个全球范围内召回的一部分,需要安全更新,因为它们含有缺陷的敏感信息包含在设备上能够使黑客很容易获得访问权限。
当USB制造商SanDisk第一接到问题的消息上个月,供应商发布了安全公告该警告其客户企业的Cruzer系列USB闪存驱动器中包含的访问控制机制中的漏洞。SanDisk公司提供的产品在线更新来解决这个问题并提出一定要注意只适用于主机,而不是设备的硬件或固件上运行的应用程序的问题。
现在USB厂商金士顿跳进了类似的警告,可能是因为他们的硬盘采用SanDisk的相同的代码。金士顿的提醒会通知客户,“一个技术人员用适当的工具和驱动器的物理访问可能能够获得对数据的未授权访问包含”上的驱动器。该公司已经发布了设备上的召回,并敦促客户归还。警告也已通过USB发出厂商威宝。
影响这些驱动器都配备了AES 256位硬件加密技术,这是专为满足企业级安全性的严格要求。但是,与德国安全公司渗透测试人员发现SySS它利用闪存驱动器处理密码的方式中的漏洞。该缺陷的确切性质没有任何卖主公报所描述的,但根据在安全发布的项目为H“攻击访问存储在硬盘上的纯文本数据的主要问题是输入密码的机制。”SySS测试人员发现,让他们写一个工具,发送相同的字符串来解锁驱动器,无论是输入了什么密码的漏洞。
该漏洞可以被包含在其他驱动器和更多的召回可能对方式,根据克鲁利,高级技术顾问与Sophos。
“这当然是一个令人不安的脆弱性,并很可能导致其他黑客访问探索以前被认为是‘安全加密’的数据的可能性,指出:”克鲁利。“我不知道,如果其他厂商也使用SanDisk的代码,但即使他们不这样做,他们可能是明智的审视自己的产品,并认为漫长而艰难的,他们是否可能会受到类似的攻击。虽然它尴尬的召回一个产品,这将是差很多有市场,很容易受到这种攻击的一个产品。”
Cluley说,谁也博客上讲述的问题被称为问题“可耻的”,并表示安全管理人员必须能够确保适当的加密上U盘,可随身携带了大量的敏感信息被使用。他还敦促公司的地方,把必要的措施来检测并阻止未经授权的使用移动存储设备。
这个故事,“安全USB驱动器不是最安全的”最初发表CSO 。