Skip navigation

Tag Archives: Forensics

새로텍 지문인식 외장 하드디스크 케이스를 사서 테스트 해봤는데

참으로 어의없는 취약점이 발견 되었습니다.

다른 외장 케이스에 하드디스크를 붙인 다음에

윈핵스를 이용해서 바이트단위로 읽어 보았더니

지문인식 실패시 지문 인증을 우회할수 있도록 세팅한

암호 힌트와 암호가 평문으로 보이는군요

음….

일단 다른 제품을 더 구해서 테스트를 진행해 볼 생각이지만

우리나라에서 쓸만한 “보안” 외장 저장장치가 나온게 아닌가

기대했었는데 아쉽게 되었습니다.

역시 S/W 기반의 인증은 근본적인 취약점을 피할수 없는게

아닌가 하는 생각이 다시한번 드네요.

아직까지 비용대비 효과 최고의 솔루션은 TrueCrypt 입니다. ㅎㅎ
(Open Source인데.. 한글화 프로젝트나 해볼까요? ㅋㅋ)

혹시 비슷한 제품, 비슷한 테스트, 비슷한 취약점을 알고

있는 분이 계시면 커맨트 부탁드립니다.

ps. 다른 제품 후보군

– CES 2008에서 올해 2사분기 출시한다고 발표한 Maxtor BlackArmor
– 아이언키 (https://www.ironkey.com/)
– 지인이 구해줄지 모르는 LCD 창에 암호 집어 넣는 USB Thumb Drive

참 새로텍 고객지원 페이지에 일주일 전에 알렸는데

연락이없습니다. 혹시 관련 연락처 아시면 그것도…

Vendor : Sarotech (http://www.sarotech.com/)

Product : CUTIE BIO (FHD-254 Bio)
-Finger Print Recognition Removable(External) HDD Case
-http://www.sarotech.com/product/product_detail.html?part_idx=20&search_item=&item_idx=26
-http://www.sarotech.com/english/product/cutie_bio.html

Vulnerability
-“Password Hint” and “Passwords” can be easily exposed

Workarounds
-Do NOT Purchase this product.
(Vendor has been informed a week ago and no answer has been received yet)
-Try other secure thumb drive product

Vulnerability Detail
– You can use either your fingerprint or “PASSWORD” (maybe for some unexpected situation like fingerprint-disappearing or sensor-crash) for authentication.
– Remove HDD from this case and attach HDD to other “NORMAL” case after you set password for this product
– You can read password hint and password in “Plain Text” when you access the physical drive with some HEX editing tools such as WinHEX.

Blogged with Flock

Tags: ,

Advertisements