Bug do SanDisk SecureAccess permitia acesso a dados protegidos

A versão 3.02 do SanDisk SecureAccess utiliza função hash de criptografia de uma via vulnerável a ataques força bruta. O problema do aplicativo de segurança de dados para produtos da SanDisk/Western Digital permitia que usuários mal-intencionados tivessem acesso sem muito esforço aos dados criptografados.

A Western Digial já lançou uma atualização para o SecureAccess e a nova versão corrige o problema. Dessa forma, a empresa recomenda que usuários com dados sensíveis façam a migração o quanto antes para a nova edição do programa.

Drive USB SanDisk/WesternDigital

A função hash criptográfica, ou de dispersão criptográfica, pega dados de entrada de qualquer comprimento de caracteres e transforma em dados com comprimento fixo por meio de um algoritmo. Um dos parâmetros principais da ferramenta é que ela é impossível de reverter. 

Senha da senha

Entretanto, de acordo com a própria Western Digital, o SecureAccess utilizava um "hash de senhas com esforço computacional insuficiente". Dessa forma, usuários poderiam utilizar métodos de força bruta para testar sucessivas combinações de senha até conseguir acesso aos dados protegidos.

O algoritmo de dispersão ainda é irreversível, mas a vulnerabilidade estava presente justamente na camada da chave de entrada utilizada para aleatorizar os dados. De acordo com o representante da Western Digital, essa falha de segurança grave agora combina as chaves de derivação PBKDF2-SHA256. 

Ao adicionar essa camada criptográfica extra, o que destrava efetivamente os dados não é a senha simples de entrada, mas o valor hash de saída criptografado dessa senha.