Colocar la palabra inhackeable en un producto, es como intentar infiltrarse tras las líneas enemigas con una alarma atada a la espalda. Todos los productos que se hacen llamar inhackeables atraen la atención de los expertos en seguridad o, aún peor, de los ciberdelincuentes. Es lo que ha ocurrido con eyeDisk, el pendrive USB inhackeable, que ha sido hackeado. Y de momento, no hay solución al fallo de seguridad.
eyeDisk es un pendrive USB que se autodenomina inhackeable, porque está protegido mediante reconocimiento de iris (el pequeño círculo que tenemos en el centro del ojo, y que para cada persona es diferente).
Según los expertos en seguridad, el reconocimiento de iris es más seguro que el de la huella, que falla 1 de cada 10.000 veces, o el reconocimiento facial, que lo hace 1 de cada 100.000 veces. Al parecer el reconocimiento del iris solo falla 1 de cada 150.000 veces.
Sobre el papel, eyeDisk funcionaba bien en este aspecto. El propio pendrive USB lleva un lector de iris que se activa al colocarlo a unos 20 centímetros del ojo.
El patrón de iris de cada persona se almacena en el propio pendrive, nunca sale de él, y está encriptado con el algoritmo de encriptación militar AES-256, así que incluso aunque un hacker consiga hackear el USB y acceder al patrón almacenado, no le sirve de nada, porque está encriptado.
Pero al parecer, eyeDisk tiene un grave problema. A los creadores se les olvidó vigilar la puerta trasera. Que dejaron completamente abierta y sin cerrojo…
Para prevenir que el lector de iris se estropee o que el usuario sufra una lesión en el ojo y pierda o cambie el iris, los creadores de eyeDisk permitían definir una contraseña, que se podía usar para acceder a los datos en situaciones de emergencia. El grave fallo de seguridad está en que esta contraseña se almacena en texto plano, sin encriptar.
Tal como ha descubierto el hacker David Lodge, de la firma de seguridad británica Pen Test Partners, simplemente usando un programa para leer los datos que se mueven por la conexión USB, sin necesidad de hackear nada, se puede acceder a la contraseña de emergencia que desbloquea eyeDisk.
Él mismo hizo una prueba, usando como contraseña la palabra SecretPass. Leyendo los datos que circulan por el USB accedió a ella, tal como se puede ver en la imagen anterior.
Más grave aún, se puede conseguir la contraseña real usando una inventada, ya que al introducir cualquier contraseña el software realiza una comparación con la real, y como está en texto plano sin encriptar, aparece en los datos de tráfico del puerto de USB.
David Lodge avisó de este fallo a los creadores de eyeDisk, que prometieron solucionarlo, pero ha pasado un mes y aún no lo han arreglado.
Si tienes un dispositivo eyeDisk (se financió exitosamente en KickStarter hace unos meses), deja de usarlo, o no definas una contraseña de emergencia.
Fuente: Pen Test Partners