Piyasada “donanım seviyesinde şifreli” ve “parmak izi korumalı” olarak pazarlanan Lenovo ThinkPlus FU100 USB belleklerin, aslında hiçbir veri şifreleme özelliğine sahip olmadığı ortaya çıktı. Yapılan incelemeler, verilerin şifrelenmek yerine sadece bir parmak izi okuyucu ile erişimin kısıtlandığı standart bir SD kart sisteminden ibaret olduğunu gösteriyor.
Şifreleme Yok, Parmak İzi Yalnızca Erişimi Kısıtlıyor
Lenovo ThinkPlus FU100 USB, AES-256 donanım şifrelemesi ile verileri askeri düzeyde koruduğunu iddia etmesinin yanı sıra biyometrik parmak izi veya şifre ile kimlik doğrulama imkânı ve hem USB hem Type-C desteği sunan çift arayüz özellikleriyle öne çıkıyor.
Yapılan teknik incelemeler, Lenovo ThinkPlus FU100 USB belleklerin iddia edildiği gibi bir şifreleme motoruna sahip olmadığını ortaya koydu. Cihazın içi açıldığında standart bir Mikro SD kartın devre kartına yerleştirilmiş olduğu görülürken, parmak izi okuyucusunun verileri şifrelemediği; yalnızca USB bağlantısını açıp kapatan basit bir “kapı” işlevi gördüğü tespit edildi. Bu da parmak izi devre dışı bırakıldığında veya SD kart başka bir okuyucuya takıldığında tüm verilere şifresiz şekilde erişilebileceği anlamına geliyor.
REverse Conference sunumunda, bahsi geçen bu güvenlik açığının 2 Ağustos’ta rapor edildiği ve 27 Ağustos’ta geçici bir düzeltme (Interim Mitigation) yapıldığı belirtiliyor. SD kartın üzerine epoksi kaplama dökülerek fiziksel erişimin zorlaştırılmaya çalışıldığı görülse de bunun gerçek bir şifreleme sağlamadığı vurgulanıyor. Bu durum, “donanımsal şifreleme” vaadiyle hassas verilerini bu cihazlarda saklayan binlerce kullanıcıyı büyük bir risk altında bırakıyor.
Kaynak: Lakr233