Poken is een digitaal visitekaartje dat aan online accounts is te koppelen en waar men makkelijk via RFID contacten mee kan uitwisselen. Voor een aanvaller is het mogelijk om via de kleine USB-stick de accounts van de eigenaar te stelen. "Poken is een digitaal visitekaartje in een sleutelhanger. Je sociale netwerken en profielen, zoals Hyves kan je gemakkelijk met anderen delen. Zo bewaar je gemakkelijk de gegevens en profielen van personen die je ontmoet. Je hoeft geen ingewikkelde profielnamen meer te onthouden, door aanraking van twee Pokens worden de profielen gedeeld", zo laat de fabrikant op deze website weten.
De Belgische beveiligingsonderzoeker Didier Stevens besloot om de Poken eens op de pijnbank te leggen. Na een kort onderzoek kwam hij erachter dat het verliezen van het apparaatje niet de enige manier is om accounts te verliezen. De URL die voor het inloggen op de Poken website wordt gebruikt is het enige dat aanvallers nodig hebben om toegang tot het account te krijgen. Aangezien de URL alleen via HTTP bereikbaar is, kan een aanvaller die eenvoudig via onveilige netwerken onderscheppen. Aangezien alle data over het account in de URL aanwezig is, laat die ook een spoor in andere systemen achter, zoals proxy logs. Eigenaren van een Poken kunnen de ongewenste toegang tot hun account voorkomen door de auto-login functie uit te schakelen, een optie die standaard is ingeschakeld.
Encryptie
Om gebruikers gerust te stellen dat hun informatie beveiligd is, meldt de fabrikant dat er een "erg geavanceerde encryptie methode" wordt toegepast. Stevens ontdekte dat niet alle gegevens, waaronder het eigen Poken ID, versleuteld zijn en dat de inlog-URL via BASE64 is geencodeerd. Wat betreft de encryptie is die ook niet erg geavanceerd. "Moderne ciphers zoals AES gebruiken blocks van tenminste 128-bits. De Poken data bestaat uit blocks van maximaal 64-bits. En 64-Bit encryptie is niet meer state of the art", zo merkt Stevens op.
Deze posting is gelocked. Reageren is niet meer mogelijk.