Eyedisk, ‘la unidad USB inhackeable’ es, en realidad, hackeable

¿Una unidad USB inhackeable? Eso es lo que se propone a través de Eyedisk, pero la verdad, es que actualmente es bastante arriegasdo afirmar que tu producto no se puede vulnerar.  EyeDisk, alojado en la plataforma de crowfunding Kickstarter, afirma ser una unidad flash USB “inhackeable”. El dispositivo de $99us utiliza la tecnología de reconocimiento […]

¿Una unidad USB inhackeable? Eso es lo que se propone a través de Eyedisk, pero la verdad, es que actualmente es bastante arriegasdo afirmar que tu producto no se puede vulnerar. 

EyeDisk, alojado en la plataforma de crowfunding Kickstarter, afirma ser una unidad flash USB “inhackeable”. El dispositivo de $99us utiliza la tecnología de reconocimiento de iris junto con el cifrado AES-256 para mantener segura la información almacenada en el dispositivo.

“Desarrollamos nuestro propio algoritmo de reconocimiento de iris para que nadie pueda hackear su unidad USB, incluso si tienen su patrón de iris”, dice la campaña de Kickstarter. “Los datos personales del iris utilizados para la identificación nunca se recuperarán ni duplicarán, incluso si se pierde el USB”.

Sin embargo, según el investigador de Pen Test Partners, David Lodge, el nivel de seguridad implementado en eyeDisk se queda corto.

Lodge recientemente obtuvo uno de los dispositivos y comenzó su investigación. Después de conectar el eyeDisk a una máquina virtual de Windows, el investigador descubrió que el producto surgió como una cámara USB, un volumen de flash de solo lectura y un volumen de medios extraíbles.

La primera tarea fue ver si el EyeDisk se podía desbloquear de manera confiable mediante un escaneo del iris, hecho posible al sostener la cámara del dispositivo frente al ojo. Lodge descubrió que aproximadamente dos de cada tres veces, el dispositivo funcionaba, y en los casos fallidos, una contraseña de respaldo era suficiente.

La siguiente etapa incluyó pruebas para ver si eyeDisk podía ser engañado con una fotografía o un patrón de iris similar, proceso en el cual colaboró el hijo del investigador. EyeDisk funcionó bien en ambos casos y no se desbloqueó.

Sin embargo, cuando Lodge comenzó a examinar el software y la configuración del hardware, comenzaron a surgir problemas. La difusión del hardware reveló que básicamente era “una memoria USB con un concentrador y una cámara conectados”.

El contenido de EyeDisk se desbloquea cuando el elemento autenticador del dispositivo pasa una contraseña al software de control. El investigador optó por utilizar Wireshark, un analizador de paquetes de código abierto, para ver si podía chequear el contenido. (Las últimas versiones de Wireshark son compatibles con USBPcap para detectar paquetes USB en tiempo real).

No pasó mucho tiempo antes de que se hiciera evidente que el llamado dispositivo “que no se puede hackear” se desbloquea al enviar estas contraseñas en texto claro.

“Entonces, ¿qué pasa si ingreso una contraseña incorrecta? Te daré una pista: exactamente lo mismo”, anotó el investigador. “Independientemente de lo que ingrese, envía el mismo paquete al dispositivo. Esto significa que la aplicación misma debe leer esto desde el dispositivo y luego reenviarlo cuando lo desbloquee”.

“El software recopila la contraseña primero, luego valida la contraseña ingresada por el usuario ANTES de enviar la contraseña de desbloqueo”, agregó Lodge. “Este es un enfoque muy pobre dadas las reclamaciones que no se pueden rastrear y fundamentalmente socava la seguridad del dispositivo”.

Por lo tanto, es posible obtener la contraseña / hash, en texto claro, simplemente revisando el tráfico USB.

Pen Test Partners intentó ponerse en contacto con el equipo de eyeDisk el 4 de abril de 2019. El proveedor respondió de inmediato y el mismo día se proporcionaron todos los detalles de los problemas de seguridad descubiertos por los investigadores.

Para el 9 de abril, eyeDisk dijo que solucionaría el problema, pero no se dio una fecha para un parche. A la fecha no hay nada solucionado y la compañía no se ha pronunciado.