Insgesamt vier Sicherheitslücken hat der Sicherheitsforscher Matthias Deeg von der SySS GmbH in der Firmware des bereits seit einigen Jahren verkauften USB-Sticks "Verbatim Keypad Secure" entdeckt. Unter Ausnutzung der Lücken sei es möglich, auf dem Stick verschlüsselte Daten mit vergleichsweise wenig Aufwand zu entschlüsseln. Der Hersteller habe seit der erstmaligen Benachrichtigung im Januar 2022 noch nicht reagiert.

Im SySS Tech Blog erklärt Matthias Deeg die Lücken ausführlich - ein YouTube-Video zeigt zudem einen Proof-of-Concept. Weiterhin wurde bereits ein CVE-Eintrag angelegt (CVE-2022-28384/SYSS-2022-001/-017). Das Gehäuse des Keypad Secure sei leicht zu öffnen, um die eingebaute M.2-SSD mit den AES-verschlüsselten Daten zu entnehmen. Die SSD könne dann in einen USB-Adapter gesteckt und an einen anderen PC angeschlossen werden. Mithilfe einer selbst entwickelten Software habe Matthias Deeg das Entschlüsseln der Daten dann automatisieren können.

Weiterhin lasse sich die Firmware laut Deeg manipulieren, da der USB-Stick nicht dessen Authentizität überprüfe. Der Schutz gegen manuelles "Brute-Forcing" soll ebenfalls nicht wie angegeben - laut Verbatim soll nach zwanzig fehlgeschlagenen Versuchen eine Sperre greifen - funktionieren. Neben dem genannten USB-Stick seien auch noch drei weitere Verbatim-Produkte von Sicherheitslücken betroffen - näheres hierzu ist im Heise-Artikel nachzulesen.

In der Vergangenheit sind Sicherheitslücken bei USB-Massenspeichern mit eingebauten proprietären Verschlüsselungsfunktionen schon mehrfach zum Problem geworden.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE