示意圖,與新聞事件無關。

荷蘭研究人員發現數款市售固態硬碟(SSD)產品有漏洞,可能導致任何可存取硬碟的有心人士不用密碼,即可存取其中的資料。而如果使用Windows BitLocker的話,將使資料曝險程度升高。

固態硬碟經常採用自主加密磁碟(Self-Encrypting Drive,SED)技術實作全磁碟加密。但是荷蘭拉德堡(Radboud)大學研究人員Bernard van Gastel和Carlo Meijer發現在Windows上有個問題:有時作業系統也會決定只用硬碟加密。例如微軟Windows中的BitLocker可讓管理員透過群組政策(Group Policy)中設定使用軟體或硬體加密。但問題是,如果搭配的硬碟有加密功能,BitLocker就會自動關閉軟體加密,轉成硬體加密。但macOS、Android、iOS和Linux上內建的軟體加密似乎沒有這個現象。

這時如果固態硬碟有漏洞,就無法提供有效防護。研究人員利用網路上的公開資訊及100歐元(約3600元台幣)左右的漏洞評估設備,針對5款具備自主加密能力的知名固態硬碟產品進行測試,包括美光的內接硬碟Crucial MX100、MX200、MX300,三星的內接硬碟Samsung 840 EVO、850 EVO,以及三星的外接式硬碟T3 Portable和T5 Portable。

研究人員針對上述產品的韌體進行逆向工程分析,果然發現兩組漏洞。一是CVE-2018-12307,它是指用戶密碼及加密用戶資料的金鑰未做密碼綁定(cryptographic binding),可讓攻擊者(如JTAG、記憶體破壞、操控儲存晶片內容及故障注入)而在硬體控制器上執行程式碼以回復資料。5款產品都有此漏洞。

另一項漏洞為CVE-2018-12038,用戶金鑰資訊是儲存在磨損平衡(wear-levelled)的儲存晶片上。此時只要對同一邏輯區多次寫入,即可能造成寫入到不同實體區。對設定密碼的用戶來說,重要的晶片資訊雖然以加密變項覆寫,但仍留存在晶片上,因而可被成功資料回復攻擊。Samsung 840 EVO被證實有此漏洞。

研究人員強調這問題並不只存在於這5項產品。他們因而建議,為確保資料安全,使用者不應只靠固態硬碟的加密,最好同時要使用軟體式的全磁碟加密方案,最好是像VeraCrypt等經稽核過,支援原位加密的開源技術。

如果用戶有在用BitLocker,是可以經由變更「群組政策」以強制使用軟體加密,但研究人員表示這對已經部署的硬碟沒有用,只有全新安裝硬碟時正確設定BitLocker和清除內接硬碟內資料才能執行。

熱門新聞

Advertisement