Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Verschlüsselnder USB-Stick von Verbatim unsicher: Experte zeigt Schwachstellen

Gleich vier Sicherheitslücken hat der USB-Stick "Verbatim Keypad Secure" mit eingebauter PIN-Tastatur und der Hersteller reagiert nicht auf die Probleme.

In Pocket speichern vorlesen Druckansicht 135 Kommentare lesen

Der USB-Stick Verbatim Keypad Secure hat Sicherheitslücken

Update
Lesezeit: 2 Min.
c't Magazin
Von
Inhaltsverzeichnis

Der Sicherheitsforscher Matthias Deeg von der SySS GmbH hat den schon seit einigen Jahren verkauften USB-Stick "Verbatim Keypad Secure" geknackt. Demnach lassen sich die vermeintlich sicher verschlüsselten Daten bei diesem Stick mit vergleichsweise wenig Aufwand entschlüsseln. Denn die Entwickler der Firmware haben insgesamt vier Sicherheitslücken eingebaut.

Damit nicht genug: Obwohl die Firma Verbatim seit Januar 2022 mehrfach über die Probleme unterrichtet wurde, hat sie bisher nicht reagiert. Die Produkte bleiben also unsicher und werden anscheinend auch weiter verkauft.

Matthias Deeg erklärt die Schwachstellen ausführlich im SySS Tech Blog, den Proof-of-Concept zeigt ein YouTube-Video und ein CVE-Eintrag ist angelegt (CVE-2022-28384/SYSS-2022-001/-017).

M.2-SSD entnehmbar

Das Gehäuse des Keypad Secure lässt sich relativ leicht öffnen, um die eingebaute M.2-SSD mit den AES-verschlüsselten Daten zu entnehmen. Das ist schon für sich genommen eine Schwachstelle, weil dadurch Brute-Force-Attacken auf die Verschlüsselung sehr einfach sind: Man steckt die SSD in einen USB-Adapter und schließt sie an einen anderen PC an.

Weil Verbatim bei der Verschlüsselung zwei Schwachstellen eingebaut hat, konnte Matthias Deeg sogar eine Software programmieren, die das Entschlüsseln automatisch erledigt.

Die M.2-SSD mit den verschlüsselten Daten lässt sich leicht aus dem Verbatim Keypad Secure entnehmen, um Brute-Force-Attacken zu fahren.

(Bild: SySS GmbH, Matthias Deeg)

Firmware ungeschützt

Deeg fand aber auch heraus, dass sich die Firmware manipulieren ließe, denn deren Authentizität überprüft der USB-Stick nicht.

Schließlich stellte sich auch noch heraus, dass der Schutz gegen manuelles "Brute-Forcing" nicht wie angegeben funktioniert: Laut Verbatim soll sich die SSD sperren, nachdem zwanzigmal eine falsche PIN eingegeben wurde. Aber das passiert nicht.

[Update:] Laut SySS enthalten auch drei weitere Verbatim-Produkte Sicherheitslücken:

  • Verbatim Store 'n' Go Secure Portable HDD
  • Verbatim Executive Fingerprint Secure SSD
  • Verbatim Fingerprint Secure Portable Hard Drive

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Immer wieder Risiken

Bei USB-Massenspeichern mit eingebauten proprietären Verschlüsselungsfunktionen tauchen immer wieder schwere Sicherheitslücken auf, manche Firmware-Entwickler bauen Schwachstellen ein, die seit Jahren bekannt sind. So wurden vor einigen Jahren Lücken etwa bei USB-Festplatten mit Verschlüsselung von Western Digital und Zalman bekannt.

Aus ähnlichen Gründen setzt Microsoft seit einigen Jahren bei BitLocker wieder auf Verschlüsselung per Software, statt auf die eingebaute Verschlüsselung in SSDs und anderen Self-Encrypting Drives (SEDs) zu vertrauen. Hintergrund war unter anderem, dass sich die Verschlüsselung interner und externer SSDs von Crucial und Samsung einfach umgehen ließ.

(ciw)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten