关键漏洞信息 漏洞ID: SYSS-2022-010 产品: Verbatim Executive Fingerprint Secure SSD 制造商: Verbatim 受影响版本: GDMSFE01-INI3637-C VER1.1 测试版本: GDMSFE01-INI3637-C VER1.1 漏洞类型: 使用有风险的加密原语实现 (CWE-1240) 风险级别: 低 解决方案状态: 开放 制造商通知: 2022-02-03 解决方案日期: 未提供 公开披露日期: 2022-06-08 CVE引用: CVE-2022-28382 公告作者: Matthias Deeg (SySS GmbH) 漏洞概述 Verbatim Executive Fingerprint Secure SSD 是一款带有AES 256位硬件加密和内置指纹传感器的USB驱动器,用于用预先注册的指纹解锁设备。制造商声称该驱动器符合GDPR要求并提供无缝实时加密。 漏洞详情 分析发现,该固件使用了不安全的AES模式(ECB模式),可能导致攻击者从加密数据中提取信息,例如通过观察重复的字节模式。ECB模式缺乏扩散性,无法有效保护具有特定模式的数据。 概念证明(PoC) 同一16字节的明文模式多次写入未锁定的SSD中,使用另一SSD读取时,同一16字节的密文模式仍然可见,证明了数据的可预测性和风险。 解决方案 SySS GmbH 表示尚未找到解决方案。 披露时间线 2022-02-03:向制造商报告漏洞 2022-02-11:再次报告漏洞 2022-03-07:再次报告漏洞 2022-06-08:公开发布安全公告 参考资料 产品官方网站 维基百科关于ECB模式的介绍) SySS 安全公告 SySS 负责任披露政策