Um stick USB apelidado de eyeDisk, que usa o reconhecimento de íris para desbloquear a unidade, afirma ser “unhackable”, mas não é. Com uma simples análise o Wireshark revelou a senha do dispositivo, gravada em texto simples.
A promessa do produto é que você nunca precisa se preocupar em perdê-lo ou com vulnerabilidades de seus dados armazenados nele. Segundo informações do fabricante, o eyeDisk possui criptografia AES de 256 bits com algoritmo próprio de reconhecimento de íris para que ninguém possa hackear, mesmo que [eles] tenham seu padrão de íris.
Depois de obter um dos gadgets, David Lodge, da Pen Test Partners descobriu que o dispositivo estava emparelhado corretamente, e ele foi capaz de desbloqueá-lo usando o recurso biométrico na maioria das vezes (duas de três tentativas em média - há uma senha de backup em caso de falha).
Então ele tentou enganar o mecanismo utilizando uma foto, mas não conseguiu desbloquá-lo.
Passando para o hardware, ele se deparou com dois problemas - um é que desmontá-lo quase destrói o dispositivo, então montá-lo novamente seria um esforço do que não enganaria ninguém se o "roubo" de informações tentasse passar despercebido.
O segundo problema é que depois de analisar todos os chips, Lodge descobriu que “o que temos aqui é, literalmente, um pendrive com um hub e câmera acoplados. Isso significa que a inteligência do dispositivo está no software.”
Ele observou que, com um USB, quando uma pessoa se autentica nela, o mecanismo da retina deve passar algo para o dispositivo, a fim de desbloquear seu conteúdo.
"Se eu pudesse rastrear isso, talvez eu pudesse repeti-lo", observou Lodge em sua análise nesta quinta-feira.
Utilizando o popular analisador de pacotes de rede conhecido como Wireshark, cuja função USBPcap permite a detecção de pacotes em tempo real a partir de um USB, Lodge foi capaz de determinar que o dispositivo usou o Command Descriptor Blocks (CDB) para enviar comandos de e para o dispositivo. Os comandos usaram a terminologia padrão do USB.
Quando ele ativou o sniffing de pacotes enquanto destravava o dispositivo, ele viu dentro dos CDBs uma string contendo sua senha, e outro “hash de 16 bytes, que tem o tamanho certo para o md5 e não combina com o hash da senha, por isso poderia ser o hash da íris.”
Como ele colocou em poucas palavras: "Este dispositivo "inacessível" desbloqueia o volume, enviando uma senha em texto simples."
Além disso, uma análise do código do controlador do eyeDisk mostrou que era possível melhorar o ataque com um script de comando automatizado forçando a senha.
"A senha / íris pode ser obtida simplesmente analisando o tráfego USB para obter a senha / hash em texto não criptografado", concluiu Lodge. “O software coleta a senha primeiro e depois valida a senha inserida pelo usuário ANTES de fazer o desbloqueio. Esta é uma abordagem muito pobre, tendo em conta as alegações inaceitáveis e fundamentalmente, prejudica a segurança do dispositivo.”
Os usuários devem criptografar todos os dados que planejam armazenar no eyeDisk, observou ele.
Depois de entrar em contato com o fornecedor, a eyeDisk pediu mais detalhes - mas não se pronunciou mais depois disso, de acordo com Lodge, apesar de a Pen Test Partners ter avisado a empresa que estaria seguindo um processo de divulgação responsável por 30 dias. Sem qualquer comunicação adicional, a Pen Test Partners divulgou suas descobertas em 9 de maio.
