Onderzoekers van de Radboud Universiteit te Nijmegen hebben kwetsbaarheden ontdekt in diverse ssd's van Crucial en Samsung. De hardwarematige encryptie die op de schijven aanwezig is bleek te omzeilen. Hoewel de onderzoekers slechts een handvol ssd's getest hebben, verwachten ze dat veel meer modellen kwetsbaar zijn.
Carlo Meijer en Bernard van Gastel, die bijna twee jaar met het onderzoek bezig zijn geweest, kwamen erachter dat de cryptografische sleutel bij de gebruikte ssd's niet afhankelijk is van het wachtwoord. Uiteindelijk lukte het ze om elk willekeurig wachtwoord goedgekeurd te laten worden. Deze kwetsbaarheid vond het duo bij Samsung's T3 en T5 externe ssd's, evenals de 840 en 850 Evo. Bij Crucial bleken de MX100, -200 en -300 vatbaar. De methodes van Meijer en Van Gastel vereisen wel fysieke toegang tot de ssd om te slagen.
Samsung heeft voor zijn T3 en T5-series inmiddels een nieuwe firmware uitgebracht. Voor hun interne drives verwijst het bedrijf naar softwarematige encryptie. Micron-dochter Crucial heeft ook voorgenomen om updates beschikbaar te gaan stellen.
We hebben bij de twee bedrijven gevraagd om een reactie.
Update 05/11 19:09 - Samsung reageerde met het volgende:
Samsung Electronics is door het National Cyber Security Centre (NCSC-NL) geïnformeerd over mogelijke beveiligingsrisico's in sommige van onze SSD-producten. De kwetsbaarheden zouden een aanvaller in staat kunnen stellen informatie te verkrijgen van een SSD zonder wachtwoordverificatie. De kwetsbaarheden kunnen niet op afstand worden benut en zijn beperkt tot situaties waarin de aanvaller fysieke toegang tot de SSD heeft.
Samsung neemt de beveiliging van informatie van onze klanten zeer serieus. Direct nadat wij hierover geïnformeerd zijn, hebben we nauw samengewerkt met het NCSC-NL om de kwestie op te lossen en het eventuele ongemak voor onze klanten tot een minimum te beperken. Wij blijven de situatie volgen en stellen updates beschikbaar op: www.
samsung. com/semiconductor/minisite/ssd /support/consumer-notice/
Als we van Crucial nog een statement ontvangen, wordt dit nieuwsbericht hierop aangepast.
Een overzichtstabel met de bevindingen uit het onderzoek.
Bron: Tweakers.net
