News SSD/HDD Storage

Was ist eigentlich sicher? Das “unhackbare Laufwerk” eyeDisk ist es irgendwie nicht

Wir leben in einer Welt, in der Sicherheitsforscher viele Reklamationen genau prüfen. Angeblich auslaufsichere Becher werden heftig herumgeworfen, vorgeblich unzerbrechliche Gegenstände werden gegen Wände katapultiert und vermeintlich unzerstörbare Geräte werden von Sicherheitsforschern Tag für Tag versuchsweise auseinandergerissen. Einige Produkte halten dabei, was sie versprechen, aber Pen Test Partners veröffentlichte am 9. Mai das Resultat eines Tests, dass das von eyeDisk nicht dazugehört.

Wir leben in einer Welt, in der Sicherheitsforscher viele Reklamationen genau prüfen. Angeblich auslaufsichere Becher werden heftig herumgeworfen, vorgeblich unzerbrechliche Gegenstände werden gegen Wände katapultiert und vermeintlich unzerstörbare Geräte werden von Sicherheitsforschern Tag für Tag versuchsweise auseinandergerissen. Einige Produkte halten dabei, was sie versprechen, aber Pen Test Partners veröffentlichte am 9. Mai das Resultat eines Tests, dass das von eyeDisk nicht dazugehört.

EyeDisk soll “unhackbaren” Speicherplatz bieten, indem man sich auf die Iriserkennung anstelle von herkömmlichen Passwörtern verlässt. Das Projekt sammelte 21.892 $ auf Indiegogo im Jahr 2018 und 21.112 $ auf Kickstarter Anfang dieses Jahres dafür ein. Das Gerätging am 19. März in den Versand und das Sicherheitsunternehmen Pen Test Partners entschied sich im April, die Behauptungen von eyeDisk zu prüfen. Nur um dann ziemlich schnell feststellen zu müssen, dass eyeDisk nicht annähernd so sicher ist, wie es eigentlich sein sollte.

Die gute Nachricht ist, dass die Iriserkennung von eyeDisk kein Opfer von Fehlalarmen wurde. Immerhin, denn dies ist ein häufiges Problem bei biometrischen Sicherheitsmechanismen. Fingerabdruckscanner, Gesichtserkennung und ihre Gegenstücke wurden in der Vergangenheit nur zu oft durch Bilder des echten Körperteils getäuscht. Pen Test Partners fanden heraus, dass eyeDisk nicht durch solche Fotos getäuscht wurde, also hat man zumindest diesen Teil des Systems richtig umgesetzt.

Die schlechte Nachricht ist, dass eyeDisk ein Paket mit dem Entsperr-Passwort und dem Hash im Klartext sendet, so dass sie mit einem simplen USB-Sniffer ausgelesen werden können. “Die Software sammelt zuerst das Passwort und validiert dann das vom Benutzer eingegebene Passwort, bevor sie das Entsperrungspasswort sendet”, lässt sich Pen Test Partners zitieren. “Das ist ein sehr schlechter Ansatz angesichts der Behauptungen unknackbar zu sein und untergräbt grundlegend die Sicherheit des Geräts.”

EyeDisk wurde Berichten zufolge am 4. April über das Problem informiert. Die Kommunikation scheint aber nur schwer in Gang gekommen zu sein sein, wobei eyeDisk nach dem 9. April überhaupt nicht mehr reagiert, obwohl sie seitdem dreimal kontaktiert wurden. Es lassen sich auch keine echten Kontaktinformationen für eyeDisk finden. Auf keiner der beiden Crowdfunding-Plattformen funktioniert der E-Mail-Versand noch und der Link zur Pressemappe auf Dropbox ist abgelaufen. Die Links auf der Website von eyeDisk führen zu Konten für Wix, das war’s.

Pen Test Partners riet eyeDisk-Anwendern, “nicht mehr auf diese Umsetzung als Methode zur Sicherung Ihrer Daten zu vertrauen – es sei denn, Sie wenden zusätzliche Kontrollen an, wie z.B. die Verschlüsselung Ihrer Daten, bevor Sie sie auf das Gerät kopieren”. Man riet auch Unternehmen, nicht mehr zu behaupten, dass ihre Produkte unzerstörbar seien – was per se ein guter Ratschlag ist – aber wohl auch in Zukunft ignoriert werden dürfte. Denn das Marketingpotenzial für ein “unzerstörbares” oder “unhackbares” Gerät ist einfach zu groß.

 

Quelle: Pen Test Partners, Tom’s Hardware

 

 

 

 

 

Danke für die Spende



Du fandest, der Beitrag war interessant und möchtest uns unterstützen? Klasse!

Hier erfährst Du, wie: Hier spenden.

Hier kann Du per PayPal spenden.

Igor Wallossek

Chefredakteur und Namensgeber von igor'sLAB

Computer-Nerd seit 1983, Audio-Freak seit 1979 und seit über 50 Jahren so ziemlich offen für alles, was einen Stecker oder einen Akku hat.