Matthias Deeg, Sicherheitsexperte von der Firma SySS, hat, nachdem er zuvor bereits Schwachstellen bei dem USB-Stick Verbatim Keypad Secure aufgedeckt hatte, nun noch weitere USB-Sticks untersucht. Dabei habe er erhebliche Sicherheitsprobleme bei dem USB-Stick Lepin Crypto USB Flash Drive EP-KP001 sowie der USB-SSD Verbatim Executive Fingerprint Secure SSD festgestellt.

Der Lepin Crypto USB Flash Drive EP-KP001 sei demnach garnicht mit einer "militärischen 256-Bit-AES-XTS-Hardware-Verschlüsselung" geschützt, sondern ein Controller sperre bis zur korrekten PIN-Eingabe lediglich den Zugriff auf den Flash-Speicher. Durch den Austausch mit einem Controller mit bekannter PIN sei es somit möglich, die Daten zu lesen (CVE-2022-29948).

Bei der Verbatim Executive Fingerprint Secure SSD habe sich die AES-verschlüsselte USB-Kommunikation, bei der das Schlüsselgeheimnis jedoch fest in der zugehörigen Windows-Software eingebaut ist, als großes Sicherheitsproblem herausgestellt. Deeg sei nach Extraktion dieses Schlüssels die Entschlüsselung des Passworts aus der USB-Kommunikation möglich gewesen (CVE-2022-28387).

Deeg warnt vor den Risiken externer USB-Speicher mit Hardwareverschlüsselung, deren Sicherheitslücken vielen nicht bekannt sind.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE