EyeDisk, el pendrive USB ‘inhackeable’, ha sido hackeado

17

EyeDisk es un proyecto gestado en la plataforma de financiación colectiva Kickstarter que se presenta como una unidad USB de almacenamiento seguro para la privacidad y los datos al utilizar un sistema de identificación biométrica para permitir el acceso al contenido únicamente al propietario. Para ello el contenido se encuentra cifrado mediante el algoritmo AES de 256 bits usando el patrón del iris del usuario. El fabricante afirma que es imposible recuperar o duplicar el contenido almacenado en eyeDisk incluso aunque se pierda el dispositivo o un tercero disponga del patrón del iris.

El investigador de seguridad David Lodge de Pen Test Partners, ha analizado una de estas unidades de almacenamiento y ha determinado que el nivel de seguridad implementado en eyeDisk tiene puntos débiles.

Si bien es verdad que eyeDisk se mostró inflexible a los intentos de engaño mediante fotografías o patrones de iris similares (como el del hijo del investigador) y en ningún caso se desbloqueó, también se descubrió que haciendo un uso normal del dispositivo, cuando el reconocimiento biométrico falla, una contraseña de respaldo es suficiente para acceder al contenido.

Examinando el software se determinó que el contenido de EyeDisk se desbloquea cuando el elemento autenticador del dispositivo envía una contraseña al software de control. Mediante el uso de Wireshark para analizar los paquetes de esta comunicación en tiempo real, el investigador descubrió que dicha contraseña se envía en texto plano y que, tanto si el proceso de autenticación es fallido como exitoso, el paquete enviado es el mismo.

Según las palabras de David Lodge, esto revela que el software recopila la contraseña primero desde el dispositivo, y posteriormente valida la contraseña ingresada por el usuario antes de enviar (o no) la contraseña de desbloqueo. Por lo tanto, es posible obtener la contraseña / hash, en texto claro, simplemente capturando el tráfico USB.

Pen Test Partners se puso en contacto con el equipo desarrollador de eyeDisk el pasado 4 de abril para proporcionar todos los detalles del análisis realizado y los problemas de seguridad descubiertos. Unos días después, el 9 de abril, eyeDisk confirmó que solucionaría el problema aunque sin especificar fecha.

Desde entonces el equipo de seguridad ha intentado comunicarse en varias ocasiones con el equipo de desarrollo de eyeDisk para indagar sobre el estado de la corrección e informar de sus intenciones de publicar el análisis en el plazo de un mes. Así, tras no recibir respuesta, han decidido divulgar los resultados de la investigación.

Comentarios