Een usb-stick die via een irisscan te ontgrendelen is kan volgens de fabrikant "niet worden gehackt", maar het apparaat is zo onveilig dat de distributie moet worden gestopt en klanten gewaarschuwd. Dat stelt beveiligingsonderzoeker David Lodge van securitybedrijf Pen Test Partners.
Het gaat om de eyeDisk, een usb-stick met ingebouwde camera. Met de camera wordt een scan van de iris gemaakt. Vervolgens is het mogelijk om via een irisscan toegang tot de versleutelde data op de eyeDisk te krijgen. "Je oog is je wachtwoord", aldus de fabrikant. Gebruikers hebben daarnaast de optie om ook nog een wachtwoord in te stellen dat naast de scan moet worden opgegeven.
Via Kickstarter wist het project 21.000 dollar op te halen. Meer dan de 10.000 dollar die als doel was gesteld. Lodge besloot de hardware van de usb-stick te onderzoeken, alsmede het verkeer dat de datadrager genereert. Het apparaat blijkt het wachtwoord voor het ontgrendelen van de opgeslagen data onversleuteld te versturen. Tot zijn grote verbazing zag de onderzoeker dat de data ook bij het versturen van een verkeerd wachtwoord wordt ontgrendeld.
"De software verzamelt eerst het wachtwoord, controleert dan het door de gebruiker ingevoerde wachtwoord VOORDAT het ontgrendelwachtwoord wordt verstuurd, Dit is een slechte aanpak gezien de claim dat het apparaat niet te hacken is en ondermijnt de veiligheid van het apparaat", aldus Lodge. De iris/wachtwoord van de gebruiker zijn eenvoudig te verkrijgen door het usb-verkeer te sniffen, merkt hij verder op.
De onderzoeker waarschuwde de fabrikant op 4 april van dit jaar. Op 9 april kreeg Lodge bericht dat het probleem zou worden verholpen. Dezelfde dag vroeg Lodge wanneer de oplossing beschikbaar komt, klanten worden ingelicht en de distributie vanwege het beveiligingsprobleem wordt gestopt. De fabrikant reageerde niet meer, waarop Lodge de details openbaar heeft gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.