Trick 17: Tastenkombination öffnet Corsairs Padlock-2-Sticks für Unbefugte

Corsair weist auf eine Schwachstelle in seinem USB-Stick mit Zugriffsschutz Padlock 2 hin. Über die Lücke ist es möglich, dass Unbefugte Zugriff auf gespeicherte Daten erhalten. Der Stick hat eine Mini-Tastatur eingebaut, über die der Anwender durch Eingabe der PIN den Zugriff auf den Stick freischaltet. Auf diese Weise benötigt man keine Treiber und ist Plattform-unabhängig.

Mittels einer bestimmten Tastenkombination ist es jedoch möglich, das Passwort zu löschen, wobei die Daten trotzdem erhalten bleiben. Anschließend sollen sich die Daten ohne Eingabe einer PIN auslesen lassen. Corsair hat eine Anleitung veröffentlicht, wie man das Problem behebt. Der Hersteller empfiehlt jedoch, vorher ein Backup anzulegen. Die Anleitung auf deutsch ist hier zu finden; die englische Version hier.

Wie es zu dem (Design-)Fehler kam, gibt der Hersteller nicht an. Unklar ist auch, ob und warum sich die Daten (im Klartext) auslesen lassen. Immerhin wirbt Corsair mit "256-bit hardware data encryption". Bereits das Vorgängermodell wies eine kritische Schwachstelle auf, wie heise Security Mitte 2008 berichtete: Die Eingabe der richtigen PIN sorgte nur dafür, dass die Hauptplatine mit Strom versorgt wurde. Mit einer Brücke zwischen der Stromversorgungssteuerung der Hauptplatine und der Spannungsversorgung am USB-Anschluss ließ sich die PIN-Steuerung umgehen und der Padlock gab ohne Murren die Daten preis. (dab)