image

Onderzoeker kraakt "niet te hacken" biometrische usb-stick

donderdag 9 mei 2019, 14:11 door Redactie, 12 reacties

Een usb-stick die via een irisscan te ontgrendelen is kan volgens de fabrikant "niet worden gehackt", maar het apparaat is zo onveilig dat de distributie moet worden gestopt en klanten gewaarschuwd. Dat stelt beveiligingsonderzoeker David Lodge van securitybedrijf Pen Test Partners.

Het gaat om de eyeDisk, een usb-stick met ingebouwde camera. Met de camera wordt een scan van de iris gemaakt. Vervolgens is het mogelijk om via een irisscan toegang tot de versleutelde data op de eyeDisk te krijgen. "Je oog is je wachtwoord", aldus de fabrikant. Gebruikers hebben daarnaast de optie om ook nog een wachtwoord in te stellen dat naast de scan moet worden opgegeven.

Via Kickstarter wist het project 21.000 dollar op te halen. Meer dan de 10.000 dollar die als doel was gesteld. Lodge besloot de hardware van de usb-stick te onderzoeken, alsmede het verkeer dat de datadrager genereert. Het apparaat blijkt het wachtwoord voor het ontgrendelen van de opgeslagen data onversleuteld te versturen. Tot zijn grote verbazing zag de onderzoeker dat de data ook bij het versturen van een verkeerd wachtwoord wordt ontgrendeld.

"De software verzamelt eerst het wachtwoord, controleert dan het door de gebruiker ingevoerde wachtwoord VOORDAT het ontgrendelwachtwoord wordt verstuurd, Dit is een slechte aanpak gezien de claim dat het apparaat niet te hacken is en ondermijnt de veiligheid van het apparaat", aldus Lodge. De iris/wachtwoord van de gebruiker zijn eenvoudig te verkrijgen door het usb-verkeer te sniffen, merkt hij verder op.

De onderzoeker waarschuwde de fabrikant op 4 april van dit jaar. Op 9 april kreeg Lodge bericht dat het probleem zou worden verholpen. Dezelfde dag vroeg Lodge wanneer de oplossing beschikbaar komt, klanten worden ingelicht en de distributie vanwege het beveiligingsprobleem wordt gestopt. De fabrikant reageerde niet meer, waarop Lodge de details openbaar heeft gemaakt.

Image

Reacties (12)
09-05-2019, 14:19 door Anoniem
Goh, een project op Kickstarter wier product uiteindelijk totale rommel blijkt te zijn. Je verwacht het niet.
09-05-2019, 14:51 door Anoniem
Door Anoniem: Goh, een project op Kickstarter wier product uiteindelijk totale rommel blijkt te zijn. Je verwacht het niet.

Tja, kickstarter... of het is een clubje wat bestaande china-meuk probeer te verkopen als iets wat ze zelf 'ontworpen' hebben, of ze ploffen omdat de creator er met het toch wel vele geld vandoor gaat of soms lukt het...

Ben wel blij met mijn bluetooth speaker en remlicht voor mijn helm.
09-05-2019, 15:19 door Anoniem
Dit soort rommel produceren zou strafbaar moeten zijn.
09-05-2019, 17:23 door Anoniem
zo kan ik me nog herinneren dat ik ooit een ironkey gekocht heb voor veel geld

achteraf sloef dat ook nergens op, want ik had beter dat geld kunnen spenderen aan een goedkoop chinees usb stickje, en de rest kunnen investeren in een krat bier
09-05-2019, 17:31 door Anoniem
Huaaa, typisch gevalletje van "made (and developed) in China" zo te zien?

Door Pen Test Partners: The software collects the password first, then validates the user-entered password BEFORE sending the unlock password. This is a very poor approach given the unhackable claims and fundamentally undermines the security of the device.
Dit zou wel veilig kunnen (voor wat betreft verlies van de usb-stick zonder toegang tot de desbetreffende PC met software).
Maar het belooft niet veel goeds dat het wachtwoord door de usb-stick in plain tekst over usb wordt verstuurd,
en de inherent onveilige md5 hashfunctie lijkt te zijn gebruikt voor de iris-informatie.
09-05-2019, 19:00 door Anoniem
Door Anoniem: zo kan ik me nog herinneren dat ik ooit een ironkey gekocht heb voor veel geld

achteraf sloef dat ook nergens op, want ik had beter dat geld kunnen spenderen aan een goedkoop chinees usb stickje, en de rest kunnen investeren in een krat bier

Hoezo? Als het de echte IronKey is dan is deze door de AIVD goedgekeurd voor gebruik tot departementaal vertrouwelijk. Best wel prima stickie. Wel daardoor erg duur.
10-05-2019, 07:02 door Anoniem
Door Anoniem: Dit soort rommel produceren zou strafbaar moeten zijn.

Waar trek je de grens, een onveilig OS, een onveilig knuffeltje, onveilige seks?
10-05-2019, 08:48 door Anoniem
Geef em aan tweakers, binnen een uurtje zal die gehacked zijn.
Die hebben lol in usb sticks hacken die "veilig" zouden zijn.
10-05-2019, 10:35 door Anoniem
Het is jammer dat de aanval niet op de biometrie gericht is. De fout is uiteindelijk een niet-verifiëren van een wachtwoord in de communicatie. Slordig, maar relatief eenvoudig te verhelpen door het volgen van best practices in authenticatiemiddelen. Veel interessanter is wat er te vinden is in de biometrie (gegeven dat 100% onmogelijk is, zijn daar gegarandeerd findings te vinden). Dat is de kern van het authenticatiemiddel, en eenmaal opgelopen averij in de biometrie verhelp je niet zo maar 1, 2, 3 meer.
10-05-2019, 10:41 door Anoniem
Door Anoniem: Goh, een project op Kickstarter wier product uiteindelijk totale rommel blijkt te zijn. Je verwacht het niet.

Ik wel.

Mijn vrouw en ik hebben in totaal enkele tientallen projecten gesteund. Daarvan hebben 2 projecten niets opgeleverd. Eentje (Duits, niet Chinees) werd tegengewerkt door de grote, gevestigde bedrijven. Een ander project leverde een product dat niet voldeed aan mijn verwachtingen. Dat is nog altijd beter dan bij een gemiddelde, kleine webshop.

Maar net als bij een webshop, moet je natuurlijk wel slim investeren. Ook op Kickstarter geldt "if it's to good to be true, it probably isn't."

Peter
12-05-2019, 10:53 door [Account Verwijderd]
"if it's to good to be true, it probably isn't."

Peter

Je spreekt jezelf tegen. Als je dan leentjebuur bij een andere taal doet, zoek dan minstens de grammaticale constructie op... Nederland verkwanselt niet alleen het Nederlands maar vervangt het te pas en te onpas met fout buitenlands.

"Geupdated" is daar ook zo'n prachtig voorbeeld van... Om te k*****!!
16-05-2019, 16:42 door Whacko
Door Rexodus:
"if it's to good to be true, it probably isn't."

Peter

Je spreekt jezelf tegen. Als je dan leentjebuur bij een andere taal doet, zoek dan minstens de grammaticale constructie op... Nederland verkwanselt niet alleen het Nederlands maar vervangt het te pas en te onpas met fout buitenlands.

"Geupdated" is daar ook zo'n prachtig voorbeeld van... Om te k*****!!

GeupdateT, leenwoorden in voltooide tijd vervoeg je altijd met een t ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.