Sichere USB-Sticks geknackt
Datentresore, die sich nur mit dem richtigen Fingerabdruck öffnen, versprechen Hersteller von USB-Sticks und -Karten mit Fingerabdrucklesern. Doch mit einem frei verfügbaren Tool können Neugierige den Schutz einiger Produkte umgehen.
- Daniel Bachfeld
Viele Secure-USB-Sticks bestehen im Wesentlichen aus drei Bauelementen: Dem Flash-Speicher für die Daten, einem Fingerabdrucksensor und einem Mikrocontroller, der den USB-Verkehr abwickelt, mit dem Flash spricht und den Sensor steuert. Der Flash-Speicher ist dabei logisch in mehrere Partitionen unterteilt, von denen der Controller nach dem Anschluss an den PC nur eine öffentliche zum Zugriff freigibt. Mit der darin ab Werk enthaltenen Software startet der Anwender die erstmalige Erfassung der Fingerabdrücke und bei jedem weiteren Mal die Authentifizierung durch den Sensor. Die Software läuft auf dem PC und nutzt den Sensor zum Einlesen des Fingerabdrucks. Ist es der richtige, blendet der Mikrocontroller die zuvor geschützte Partition als Laufwerk ein.
Bei USB-Sticks mit den Controllern USBest UT176 und UT169 des taiwanischen Herstellers Afa Technology ist jedoch der Zugriff auf die geschützte Partition ohne jegliche Authentifizierung möglich. Dazu genügt es, mit dem Tool PLscsi einen einzigen USB-Befehl (Command Descriptor Block) an den Stick zu schicken, um die öffentliche Partition auszublenden und die geschützte aufzurufen. Was zunächst nur als undokumentierte Hintertür erschien, entpuppte sich beim Sniffing mit einem USB-Monitor-Tool als fetter Design-Fehler: Nicht der Controller auf dem Stick entscheidet darüber, ob er die Partition freischaltet, sondern die Software unter Windows gibt das Kommando dazu. Erwartet hätte man nach den Beschreibungen der Hersteller, dass sämtliche Abläufe der Fingerabdruckerkennung und Freigabe autark im Mikrocontroller (ein 8032-Derivat) des Sticks ablaufen. Zusätzlich entscheidet die Software auf dem PC mit einem weiteren Befehl, ob die Partition nur für lesende Zugriffe verfügbar oder auch beschreibbar ist.
Diverse Sticks betroffen
In unseren Tests konnten wir die Sicherheitslücke bei dem Stick MyFlash FP1 von A-Data (USB-ID 1307:1169) und der 1-GB-Secure-Card (USB-ID 7009:1765) des Herstellers 9pay nachvollziehen. Auch die Fingerprint-Sticks JetFlash 210 und 220 des Herstellers Transcend arbeiten mit den verdächtigen Chips und geben die geschützte Partition nach einem einzigen USB-Befehl preis. Wahrscheinlich weist das Modell UT176 des Anbieters CySecure die Schwachstelle ebenfalls auf, getestet haben wir es dort jedoch nicht. Auf das Problem hingewiesen räumte der Hersteller 9pay ein, ihm sei die Möglichkeit bekannt, dass "sehr professionelle Anwender" ohne Authentifizierung auf die geschützte Partition zugreifen könnten. Künftig wolle man darauf in der Bedienungsanleitung hinweisen und vermeiden, dass der Fingerabdrucksensor einen falschen Eindruck von Sicherheit erwecke. Man empfehle Anwendern daher, vertrauliche Daten sicherheitshalber zu verschlüsseln und dann auf der rund 90 Euro teuren Karte zu speichern. Der Hersteller denkt allerdings bereits über den Einsatz eines anderen, sichereren Chips nach.
Wir baten ebenfalls Transcend und den Hersteller des Chips Afa um eine Stellungnahme. Transcend sah sich aufgrund des chinesischen Neujahrsfests zu keiner vollständigen Stellungnahme in der Lage. Sofern der Controller-Hersteller den Bug bestätige, wolle man eine Lösung für eine Partitionsabsicherung in Form von Firmware-Updates bereitstellen. Afa Technologies wollte selbst keine Stellungnahme abgeben, sondern delegierte die Anfrage an den Hersteller des Sensorchips LighTuning Tech weiter, der für die Kommunikation des Controllers mit Anwendungsprogrammen verantwortlich sein soll. Eine Antwort blieb jedoch aus.
