De hackade lösenord: Är din en av dem?
Ditt namn, din favorit football team och ditt favorit band: STORBRITANNIENS National Cyber Security Centre har släppt en lista på de 100 000 vanligaste lösenorden visas på dataintrång. Läs mer: https://zd.net/2UYNnKP
När produkten eller tjänsten leverantörer använder ordet “unhackable,” de sätter sig upp för kontroll av säkerhet forskare.
Som vi tidigare har sett med Viper smart car alarm och Bitfi plånbok-både marknadsförs som i grund och botten hackerproof — termen “unhackable” är en röd flagga för att en tjur i it-sfären.
I det första fallet, forskare snabbt kan hitta sårbarheter som får data att bli stulen, bilar låsas upp, och larm för fordon att vara inaktiverad. I det andra exemplet, en 15-årig äventyras Bitfi plånbok för att spela Doom, eftersom, varför inte?
Lektioner som inte har lärt sig om unhackable fordran, som det verkar, och nu eyeDisk USB-enhet är det senaste exemplet på varför höga krav måste backas upp till fästet.
EyeDisk, värd på Kicken crowdfunding-plattform, som gör anspråk på att vara en “unhackable” USB-flash-enhet som håller “dina digitala data låst och säkert, som ger tillgång till endast dig.”
$99 flash-enhet hävdar att använda iris erkännande teknik i takt med AES-256 kryptering för att hålla information som finns lagrad i enheten på en säker plats.
“Vi utvecklar[ed] vår egen irisigenkänning algoritm så att ingen kan hacka din USB-enhet även de har din iris mönster,” Kicken kampanjen säger. “Din personliga iris data som används för identifiering aldrig kommer att hämtas eller kopieras även om din USB-är förlorad.”
Men enligt Penna Test Partner forskaren David Lodge, hävdade nivå av säkerhet som genomförs inom eyeDisk faller kort.
Lodge nyligen fått en av de enheter och började sin undersökning. Efter att koppla eyeDisk i en Windows virtual machine (VM) fann forskaren produkten kom upp som en USB-kamera, en read-only flash volym, och en flyttbar media volym.
eyeDisk
Den första uppgiften var att se om eyeDisk kunde låsas på ett tillförlitligt sätt med hjälp av en iris scan, gjort möjligt genom att hålla enheten är upp kameran till ögat. Lodge fann att omkring två av tre gånger, enheten arbetat, och i den misslyckade fall en backup lösenord var tillräcklig.
Nästa steg är inblandade tester för att se om eyeDisk kunde luras med ett fotografi eller en liknande iris mönster, som bidragit med forskarens barn. EyeDisk utförs samt i båda fallen och inte låsa upp.
Men när Lodge började undersöka eyeDisk s program-och hårdvara installation, problem började dyka upp.
CNET: Någonsin app utbildad ansiktsigenkänning tech på användarnas foton, rapport säger
Spridning av hårdvara avslöjade vad som var i princip “ett USB-minne med hubb och kamera ansluten.”
EyeDisk innehåll är olåst när authenticator del av enheten passerar ett lösenord tillsammans till styrning av programvaran. Forskaren valde att använda Wireshark, en öppen källkod-paket analysator, för att se om han kunde vädra ut innehållet. (Den senaste versionen av Wireshark stöd USBPcap för att sniffa USB-paket i realtid.)
Det dröjde inte länge förrän det blev uppenbart att den så kallade “unhackable” låser upp enheten genom att skicka dessa lösenord i klartext.
“Så vad händer om jag anger fel lösenord? Jag ska ge dig en ledtråd: exakt samma sak,” forskaren noteras. “Oavsett vad du ska ange det sänder samma paket till enheten. Detta innebär att appen i sig måste läsa detta från enheten och sedan skicka det när man låser den.”
TechRepublic: På enheten för taligenkänning kan göra smarta assistenter mer tilltalande
“Programvaran samlar lösenord först, sedan verifierar användaren har angett ett lösenord INNAN du skickar lösenord för upplåsning,” Lodge tillsatta. “Detta är en mycket dålig strategi med tanke på den unhackable anspråk och i grunden underminerar säkerheten för enheten.”
Det är därför möjligt att få lösenordet/hash, i klartext, genom att helt enkelt lukta USB-trafik.
Penna Test Partner försökt kontakta den eyeDisk laget den 4 April 2019. Säljaren omedelbart reagerat och fullständiga uppgifter om de säkerhetsproblem som upptäckts av forskarna var tillhandahålls på samma dag.
Se även: hackerattacker Sammanflödet Servrar, kapa makt för cryptocurrency mining
April 9, eyeDisk sa att det skulle lösa problemet, men inget datum för en patch gavs. It-teamet fortsatte att jaga och att säljaren upplyser att ett offentliggörande skulle ske den 9 Maj, men det har varit radiotystnad ända sedan dess.
– Vårt råd till säljare som vill göra anspråk på sin enhet är unhackable, stopp,” forskaren säger. “det är en enhörning. Få din enhet testas och åtgärda de problem som upptäckts.”
ZDNet har nått ut till eyeDisk och kommer att uppdatera om vi hör av sig igen.
Tidigare och relaterade täckning
DeepDotWeb Mörka webbresurs dör med FBI beslag
OneCoin ‘CryptoQueen’ stämde över påstådda $4 miljarder cryptocurrency pyramidspel
Amazon säljare slog till med ett ” omfattande bedrägerier, ekonomisk stöld
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter