Den tyska säkerhetsfirman SySS har publicerat en rapport där de visar hur man tar sig förbi krypteringen på vissa USB-minnen som har inbyggd kryptering. Leverantörer som drabbas är SanDisk, Kingston och Verbatim.
Det är i grunden ett designproblem, eftersom man kör mjukvara på datorn som avgör om lösenordet är korrekt och i så fall skickar en intruktion om upplåsning till USB-minnet. SySS skrev ett verktyg som patchade mjukvaran att alltid låsa upp pinnen oavsett om det var rätt lösenord eller inte.
Följande USB-minnen är drabbade:
Det USB-minnet jag använder, Ironkey, är inte drabbat av detta då de inte använder mjukvara i datorn för att låsa upp utan verifierar det i hårdvaran. Dessutom använder de inte ett generiskt upplåsningskommando (vilket ju faktiskt också innebär att leverantören enkelt kan läsa ut information från alla krypterade USB-minnen de levererar), utan de använder användarens egna lösenord för att dekryptera informationen.
Läs mer här:
SySS Paper on How to Hack SanDisk hardware encrypted USB flash drives.
SySS Paper on How to Hack Kingston hardware encrypted USB flash drives.
De är tyvärr skrivna på tyska, men kan översättas med t.ex. Google Translator
Ironkeys beskrivning av säkerhetsbristen och varför de inte är drabbade (på engelska):
https://www.ironkey.com/usb-flash-drive-flaw-exposed