När det oacklabla blir hackbart vet du att det kommer att bli mycket buller. Exempel:EyeDisk USB -flashenhet. Lösenord avslöjade i tydlig text upptäcktes.

ZDNet och många andra webbplatser var på berättelsen i fredags. Forskare David Lodge, Pen Test Partners, fann säkerhetsnivån i eyeDisk inte matchade påståendet.

"Det är därför vi skapade eyeDisk, världens första USB -flashminne som använder irisigenkänningsteknik för oslagbar datasäkerhet, "hade teamet sagt. Dessutom, de sa, "eyeDisk kan användas offline utan krav på internetanslutning och programvaran kommer inte att lagra eller överföra dina irismönster, lösenord, eller annan information till någon onlineplats, någonsin. "

Enheten förlitar sig på irisigenkänning. Projektet hade samlat in pengar på Kickstarter. Storbritannien-baserade Pen Test Partners, som gör penetrationstest, bestämde sig för att undersöka eyeDisks påståenden.

Som det blev, Pen Test Partners utfärdade en sårbarhetsrådgivning på torsdagen, postat av David Lodge.

"Förra året, ungefär när vi bråkade med en praktiskt taget oöverträffad hårdvaruplånbok blev vi lite upphetsade över ordet "ohackabelt". Lång historia kort, Jag slutade med att stödja ett urval av kickstarter som hade ordet 'ohackbar eller liknande i sin titel'.

Charlie Osborne, ZDNet , rapporterade vad som hände när Lodge provade det:"Efter att ha anslutit eyeDisk till en virtuell Windows -dator (VM), forskaren fann att produkten kom som en USB -kamera, en skrivskyddad blixtvolym, och en flyttbar medievolym. "Osborne sa att det var möjligt" att få lösenordet/hash, i klartext, genom att helt enkelt snusa till USB -trafiken. "

Lodge hade valt, plockade, plockade isär komponenter tills vi kom till en förståelse:"Det vi har här är, bokstavligen, ett USB -minne med nav och kamera ansluten. Det betyder att de flesta hjärnorna finns i programvaran.

Lodge konstaterade att "att få lösenordet/iris kan uppnås genom att helt enkelt sniffa USB -trafiken för att få lösenordet/hash i klar text."

Zack Whittaker in TechCrunch :"Pen Test Partners-forskaren David Lodge hittade enhetens lösenord för säkerhetskopiering-för att få åtkomst till data i händelse av enhetsfel eller en plötslig ögonkastning-kunde enkelt erhållas med ett programverktyg som kan sniffa USB-enhetstrafik."

Lodge kommenterade "ett mycket dåligt tillvägagångssätt" med tanke på påståenden att det var ohackabelt. "Programvaran samlar in lösenordet först, validerar sedan det användarinmatade lösenordet INNAN du skickar upplåsningslösenordet. "

Flash-enheten sägs använda irisigenkänningsteknik i kombination med AES-256-kryptering.

Vad kommer härnäst? Här är tidslinjen som Lodge tillhandahöll. 9 april leverantören bekräftar och meddelar att de kommer att fixa - inget datum anges; 9 april fråga när de förväntar sig att fixa, meddela kunder och pausa distributionen på grund av grundläggande säkerhetsproblem. Rekommenderat offentliggörande datum 9 maj 2019 - inget svar; 8 maj sista jakten före avslöjande; 9 maj avslöjas.

Hacking-trötta sleuths skulle sannolikt hålla med Lodge råd som hemkörning. "Vårt råd till leverantörer som vill göra anspråket till sin enhet är ohackabelt, sluta, det är en enhörning. "

© 2019 Science X Network