選擇加密的西方數字硬盤驅動器的客戶有時會問自己,他們的設備是否真的面臨安全威脅。
這就是為什麼當我們的數據的安全處於風險的危險中時,專家會充當舉報人的原因。一群研究人員確定,“自加密”硬盤驅動器的美國品牌呈現出重大的安全責任,將惡意訪問對明智的數據的訪問轉變為兒童遊戲。
根據本文[PDF],Western Digital(WD)製造了外部HDD系列“ My Passport”,並具有固有的安全問題。該產品線的至少一個模型在用戶的喜好中排名很高,並在亞馬遜上獲得了約2,000個評論。
完整披露電子郵件列表出版研究的細節。
“在其中一些設備上的後門,導致解密的用戶數據,沒有任何用戶憑據的知識,”與一系列其他漏洞一起發現了。
大多數用戶都依靠我的護照隨附的密碼保護以進行數據安全,並假設只有擁有一個密鑰,犯罪者才能訪問其文件。
約翰·霍普金斯大學(Johns Hopkins University)的助理教授馬修·格林(Matthew Green)有所不同。
他指出:“驅動器的安全實際上非常薄弱。”
主要問題在於加密密鑰生成器機制。 Green解釋說,WD犯了使用C rand()函數的基本錯誤,該函數以密碼學不可靠而聞名。綠色說,這是因為它太簡單了,無法提供強大的保護鍵。
使用32位格式開發鑰匙的事實為火災增加了氣體。
霍普金斯的助理教授注意到,一個安全的設備將需要“數十億年”的蠻力來破解。但是,由於WD硬盤驅動器的自我加熱差,該方法可以在合理的短時間內產生結果。
一些不安全的設備甚至將密碼存儲在硬盤驅動器上。這使數字破壞和進入更簡單,因為黑客不需要密碼即可訪問該設備。
完整的披露帖子寫道,安全文件的作者向WD簡要介紹了問題,但該公司對可以解決問題的補丁保持沉默。
團隊強調,安全問題連接到WD的微控制器中運行的軟件,而不是與芯片本身的軟件相連。
Western Digital的一位發言人評論說:“ [WD]與獨立安全研究人員進行了對話,與他們的護照硬盤驅動器的某些模型中的安全性觀察有關。”發言人還補充說,HDD製造商對反饋表示讚賞,並鼓勵用戶提交觀察結果,以確保所有人更安全的數據生態系統。
“直到有明確固定缺陷為止,這些設備應被視為有效未加密的“綠色”總結。
