Pendrives de “máxima segurança” de três grandes marcas (Verbatim, SanDisk e Kingston), com criptografia AES 256 bits por hardware, foram crackeados e tiveram os dados acessados. A falha foi descoberta pela empresa de segurança da informação SySS, especializada em pendrives. Os três pendrives receberam o FIPS 140-2 Level 2 certificate, importante certificado de segurança emitido pelo NIST (órgão do governo americano), que supostamente garantiria inviolabilidade dos dados.
Os especialistas tiveram pouca dificuldade em obter acesso aos dados, mesmo sem a senha correta. Eles notaram que, ao digitar a senha correta, o software usado para acessar o pendrive sempre envia uma mesma mensagem ao drive, que sinaliza o programa a autorizar o usuário a visualizar e editar os arquivos no drive. Criaram então uma ferramenta que, independente da senha digitada pelo usuário, manda esta mesma mensagem, que invariavelmente autoriza o acesso aos arquivos. Os especialistas pensam que a vulnerabilidade bastante evidente e simplória foi um descuido dos programadores.
A criptografia AES 256 bits usada pelosdrives é praticamente inviolável — a única maneira prática de obter acesso não-autorizado aos drives é a exploração de falhas como esta, no software que serve de interface entre o PC e o pendrive.
A Kingston emitiu um recall do produto afetado, enquanto Verbatim e SanDisk emitiram boletins de segurança informando sobre “potenciais vulnerabilidades no software de controle de acesso”.
Linha Defensiva 
Kingston chamou pro Recall e as outras so avisaram que existem falhas. Olha só a diferença entre uma empresa que valoriza os consumidores e as outras…
CurtirCurtir