Kickstarter でプロジェクト成立した Eye Disk は、内蔵カメラで利用者の目の虹彩パターンをチェックし、登録した本人だけがその内容にアクセスできるというクールなUSBメモリです。
… 製品が額面通りのものであれば。
本人の目の虹彩パターンに合致しないと中身にアクセスできないUSBドライブ。万一虹彩認証が通らなかった時には、登録しておいたパスワードでも解除ができます。
プロジェクトのトップには “unhackable USB Flash Drive” (ハック不可能なUSBフラッシュドライブ)と大書きされ、本文の途中にも「最もセキュアなUSBフラッシュドライブ」と書いてあります。
しかし先週末に、侵入テストの会社ペン・テスト・パートナーズのデビッド・ロッジさん(David Lodge)が、Eye Disk が本当にハック不可能かどうか検証する記事を上げています。
実際にこの Eye Disk を入手したロッジ氏は、まずハードウェア面を分解して調べます。分解しにくく成形されたUSBドライブについてきた小さな内蔵カメラは目の個人差の特徴をよりよく取得するためか赤外線フィルタが外されていて、他にはUSBコントローラ、カメラコントローラ、NANDフラッシュなどのチップが載っています。
特殊なチップは無さそうなので、虹彩認証の処理はソフトウェア側であろう、と、目星をつけましたが、Visual C++ のコードをデコンパイルして追跡するよりも、とPCとの間の通信を Wireshark で sniff することにしたそう。
SCSI コマンドでリクエストが飛んでいることを見つけた後、実際に自分が設定したパスワードを入れてUSBドライブの中身をアンロックしようとすると、SCSIコマンドのパケット中に自分が入れたパスワードが平文で見えてしまいました。
さらに悪いことには、間違ったパスワードを入れてもデバイス側の正しいパスワードが返送される仕組みになっているというのです。
デバイスに保存されているパスワードをPC側のソフトウェアが平文で入手し、それとユーザー入力のパスワードを比較する、というセキュリティ的にダメダメな作りになっていたという結論を、Eye Disk 側に4月上旬に通告したそうですが、修正の時期や既存ユーザーへの告知を尋ねるメールから一か月の猶予期間に返答が無かったため、今回の情報公開となりました。
ロッジ氏の Eye Disk ベンダーへのアドバイスは、「『ハック不可能なデバイス』という有りもしない(ユニコーンのような)宣伝をしたがるのではなく、デバイスをテストして見つかったバグは直しましょう」だそうです。
Kickstarter でのキャンペーンが開始した時に、複数の人がツイッターで
Need a free security assessment performed? Just say it's "unhackable".https://t.co/vEEpvLIIpO
— Paul Seekamp (@nullenc0de) November 25, 2018
「セキュリティの専門家に評価してほしい? だったら『ハック不可能』って書くといいよ」といったコメントを既に書いていました。
People should really stop with superlative like "unbackable". This only gives more incentive for security people to break your system.https://t.co/BRJEy9yM4c
— Alexandre アレックス Mercier 🦩 (@cyberflamingo) November 24, 2018
営業的には大きく打ち出したいのかもしれませんが、”unhackable” という宣伝文句が hack できる人たちの興味を引き、製品のいい加減さが露呈することになった可能性もありますね。
via Hacker News