SD kaarten beveiligen – dat kan misgaan

      Comments Off on SD kaarten beveiligen – dat kan misgaan

Dit artikel gaat over het beveiligen van data op een SD kaart. Die storage formfactor valt normaal buiten de scope van deze website. Waarom het deze keer wel de aandacht krijgt is omdat de ontdekte fouten bekend moeten zijn. Bij iedereen die met storage bezig is en can SD kaarten gebruik maakt. De kennis is handig om beter op zwaktes in bij andere storage te kunnen controleren.

Nicolas Oberli van Kudelski security heeft op DefCon27 in de VS en vorige week in Den Haag op Hardwear.io een presentatie gegeven. “Poking the S in SD cards” gaat in op de manier waarop SD kaarten beveiligen werkt. Oberli heeft vastgesteld dat de bescherming van SD kaarten niet altijd volgens het overeengekomen protocol verloopt. SD kaarten mogen alleen verkocht worden als SD (dus het logo gebruiken!) als alle standaarden die zijn uitgegeven door de koepel organisatie sdcard.org. Dat die eisen er zijn spreekt voor zich. Dit moet verhinderen dat er  kaarten op de markt komen die ondanks de herkenbare formfactor slechts in een beperkt aantal devices bruikbaar zijn.

Waarom er fouten in de encryptie procedures zijn heeft Oberli niet kunnen achterhalen. Hij toont wel aan dat het bij kaarten van meerdere fabrikanten mogelijk is het ingevoerde wachtwoord te ontcijferen. Die handeling is nog betrekkelijk eenvoudig ook.

De aandacht voor deze zwakte, die ook in de modernste SD kaarten van bekende fabrikanten zit, is gering. SD kaarten worden niet alleen in smartphones en camera’s gebruikt. Ze zitten bijvoorbeeld ook in embedded systemen en in sommige auto navigatie sustemen. De talk van van Oberli verdient daarom meer bekendheid.

De presentatie van Oberli is als video en als pdf van 77 pagina’s (!)terug te vinden op de website van Hardwear.io

Share