SD kaarten beveiligen – dat kan misgaan

Dit artikel gaat over het beveiligen van data op een SD kaart. Die storage formfactor valt normaal buiten de scope van deze website. Waarom het deze keer wel de aandacht krijgt is omdat de ontdekte fouten bekend moeten zijn bij iedereen die met storage bezig is. De kennis is handig om beter op zwaktes in bij andere storage te kunnen controleren.

Nicolas Oberli van Kudelski security heeft op DefCon27 in de VS en vorige week in Den Haag op Hardwear.io een presentatie gegeven. “Poking the S in SD cards” gaat in op de manier waarop SD kaarten worden beveiligd. Oberli heeft vastgesteld dat de bescherming van SD kaarten niet altijd volgens het overeengekomen protocol verloopt. SD kaarten mogen alleen verkocht worden als SD (dus het logo gebruiken!) als alle standaarden die zijn uitgegeven door de koepel organisatie sdcard.org. Dat die eisen er zijn spreekt voor zich, anders zouden kaarten op de markt komen die ondanks de herkenbare formfactor slechts in een beperkt aantal devices kunnen worden ingezet.

Waarom er fouten in de encryptie procedures zijn heeft Oberli niet kunnen achterhalen. Hij toont wel aan dat het bij kaarten van meerdere fabrikanten mogelijk is het ingevoerde wachtwoord te ontcijferen. Die handeling is nog betrekkelijk eenvoudig ook.

De aandacht voor deze zwakte, die ook in de modernste SD kaarten van bekende fabrikanten zit, is gering. Omdat SD kaarten niet alleen in smartphones en camera’s worden gebruikt maar ook in bijvoorbeeld embedded systemen verdient de talk van Oberli meer bekendheid.

Share

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

*