Nieuws

Onderzoeker kraakt "niet te hacken" biometrische usb-stick

donderdag 9 mei 2019, 14:11 door Redactie, 12 reacties

Een usb-stick die via een irisscan te ontgrendelen is kan volgens de fabrikant "niet worden gehackt", maar het apparaat is zo onveilig dat de distributie moet worden gestopt en klanten gewaarschuwd. Dat stelt beveiligingsonderzoeker David Lodge van securitybedrijf Pen Test Partners.

Het gaat om de eyeDisk, een usb-stick met ingebouwde camera. Met de camera wordt een scan van de iris gemaakt. Vervolgens is het mogelijk om via een irisscan toegang tot de versleutelde data op de eyeDisk te krijgen. "Je oog is je wachtwoord", aldus de fabrikant. Gebruikers hebben daarnaast de optie om ook nog een wachtwoord in te stellen dat naast de scan moet worden opgegeven.

Via Kickstarter wist het project 21.000 dollar op te halen. Meer dan de 10.000 dollar die als doel was gesteld. Lodge besloot de hardware van de usb-stick te onderzoeken, alsmede het verkeer dat de datadrager genereert. Het apparaat blijkt het wachtwoord voor het ontgrendelen van de opgeslagen data onversleuteld te versturen. Tot zijn grote verbazing zag de onderzoeker dat de data ook bij het versturen van een verkeerd wachtwoord wordt ontgrendeld.

"De software verzamelt eerst het wachtwoord, controleert dan het door de gebruiker ingevoerde wachtwoord VOORDAT het ontgrendelwachtwoord wordt verstuurd, Dit is een slechte aanpak gezien de claim dat het apparaat niet te hacken is en ondermijnt de veiligheid van het apparaat", aldus Lodge. De iris/wachtwoord van de gebruiker zijn eenvoudig te verkrijgen door het usb-verkeer te sniffen, merkt hij verder op.

De onderzoeker waarschuwde de fabrikant op 4 april van dit jaar. Op 9 april kreeg Lodge bericht dat het probleem zou worden verholpen. Dezelfde dag vroeg Lodge wanneer de oplossing beschikbaar komt, klanten worden ingelicht en de distributie vanwege het beveiligingsprobleem wordt gestopt. De fabrikant reageerde niet meer, waarop Lodge de details openbaar heeft gemaakt.

Directeur lunchbedrijf opgepakt voor datadiefstal bij concurrent

Alpine Linux Docker-images accepteren leeg rootwachtwoord

Reacties (12)

09-05-2019, 14:19 door Anoniem

Goh, een project op Kickstarter wier product uiteindelijk totale rommel blijkt te zijn. Je verwacht het niet.

09-05-2019, 14:51 door Anoniem

Door Anoniem: Goh, een project op Kickstarter wier product uiteindelijk totale rommel blijkt te zijn. Je verwacht het niet.

Tja, kickstarter... of het is een clubje wat bestaande china-meuk probeer te verkopen als iets wat ze zelf 'ontworpen' hebben, of ze ploffen omdat de creator er met het toch wel vele geld vandoor gaat of soms lukt het...

Ben wel blij met mijn bluetooth speaker en remlicht voor mijn helm.

09-05-2019, 15:19 door Anoniem

Dit soort rommel produceren zou strafbaar moeten zijn.

09-05-2019, 17:23 door Anoniem

zo kan ik me nog herinneren dat ik ooit een ironkey gekocht heb voor veel geld

achteraf sloef dat ook nergens op, want ik had beter dat geld kunnen spenderen aan een goedkoop chinees usb stickje, en de rest kunnen investeren in een krat bier

09-05-2019, 17:31 door Anoniem

Huaaa, typisch gevalletje van "made (and developed) in China" zo te zien?

Door Pen Test Partners: The software collects the password first, then validates the user-entered password BEFORE sending the unlock password. This is a very poor approach given the unhackable claims and fundamentally undermines the security of the device.

Dit zou wel veilig kunnen (voor wat betreft verlies van de usb-stick zonder toegang tot de desbetreffende PC met software).
Maar het belooft niet veel goeds dat het wachtwoord door de usb-stick in plain tekst over usb wordt verstuurd,
en de inherent onveilige md5 hashfunctie lijkt te zijn gebruikt voor de iris-informatie.

09-05-2019, 19:00 door Anoniem

Door Anoniem: zo kan ik me nog herinneren dat ik ooit een ironkey gekocht heb voor veel geld

achteraf sloef dat ook nergens op, want ik had beter dat geld kunnen spenderen aan een goedkoop chinees usb stickje, en de rest kunnen investeren in een krat bier

Hoezo? Als het de echte IronKey is dan is deze door de AIVD goedgekeurd voor gebruik tot departementaal vertrouwelijk. Best wel prima stickie. Wel daardoor erg duur.

10-05-2019, 07:02 door Anoniem

Door Anoniem: Dit soort rommel produceren zou strafbaar moeten zijn.

Waar trek je de grens, een onveilig OS, een onveilig knuffeltje, onveilige seks?

10-05-2019, 08:48 door Anoniem

Geef em aan tweakers, binnen een uurtje zal die gehacked zijn.
Die hebben lol in usb sticks hacken die "veilig" zouden zijn.

10-05-2019, 10:35 door Anoniem

Het is jammer dat de aanval niet op de biometrie gericht is. De fout is uiteindelijk een niet-verifiëren van een wachtwoord in de communicatie. Slordig, maar relatief eenvoudig te verhelpen door het volgen van best practices in authenticatiemiddelen. Veel interessanter is wat er te vinden is in de biometrie (gegeven dat 100% onmogelijk is, zijn daar gegarandeerd findings te vinden). Dat is de kern van het authenticatiemiddel, en eenmaal opgelopen averij in de biometrie verhelp je niet zo maar 1, 2, 3 meer.

10-05-2019, 10:41 door Anoniem

Door Anoniem: Goh, een project op Kickstarter wier product uiteindelijk totale rommel blijkt te zijn. Je verwacht het niet.

Ik wel.

Mijn vrouw en ik hebben in totaal enkele tientallen projecten gesteund. Daarvan hebben 2 projecten niets opgeleverd. Eentje (Duits, niet Chinees) werd tegengewerkt door de grote, gevestigde bedrijven. Een ander project leverde een product dat niet voldeed aan mijn verwachtingen. Dat is nog altijd beter dan bij een gemiddelde, kleine webshop.

Maar net als bij een webshop, moet je natuurlijk wel slim investeren. Ook op Kickstarter geldt "if it's to good to be true, it probably isn't."

Peter

12-05-2019, 10:53 door [Account Verwijderd]

"if it's to good to be true, it probably isn't."

Peter

Je spreekt jezelf tegen. Als je dan leentjebuur bij een andere taal doet, zoek dan minstens de grammaticale constructie op... Nederland verkwanselt niet alleen het Nederlands maar vervangt het te pas en te onpas met fout buitenlands.

"Geupdated" is daar ook zo'n prachtig voorbeeld van... Om te k*****!!

16-05-2019, 16:42 door Whacko

Door Rexodus:

"if it's to good to be true, it probably isn't."

Peter

GeupdateT, leenwoorden in voltooide tijd vervoeg je altijd met een t ;)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer