[SYSS-2025-017]: Verbatim Store 'n' Go Secure便携硬盘(安全更新v1.0.0.6)- 离线暴力破解攻击
公告ID: SYSS-2025-017
产品: Store 'n' Go Secure便携硬盘
制造商: Verbatim
受影响版本: 部件号#53401 (GD25LK01-3637-C VER4.0)
测试版本: 部件号#53401 (GD25LK01-3637-C VER4.0)
漏洞类型: 使用具有风险实现的加密原语(CWE-1240)
风险等级: 高
解决方案状态: 未解决
制造商通知: 2025-02-21
解决方案日期: -
公开披露: 2025-10-20
CVE参考: 尚未分配
公告作者: Matthias Deeg, SySS GmbH
概述
Verbatim Store 'n' Go Secure便携硬盘是一款采用AES 256位硬件加密的便携USB驱动器,配备内置键盘用于输入密码。
制造商对该产品的描述如下:
"AES 256位硬件加密通过内置键盘实时加密驱动器上的所有数据。该硬盘不会在计算机或系统易失性内存中存储密码,使其比软件加密更安全。此外,如果落入他人手中,在20次密码尝试失败后,硬盘将锁定并需要重新格式化。"
由于不安全的设计,安装了最新安全更新的Verbatim Store 'n' Go Secure便携硬盘容易受到离线暴力破解攻击,攻击者可找出正确密码和相应的数据加密密钥,从而获得对存储加密数据的未授权访问。
漏洞详情
在分析安装了最新安全更新的Verbatim Store 'n' Go Secure外部存储设备时,Matthias Deeg发现由于不安全的设计,仍然可以对此设备执行离线暴力破解攻击。
与2022年发布的关于旧固件版本的暴力破解攻击相比,安装了最新固件版本的Verbatim Store 'n' Go Secure便携硬盘使用了不同的AES加密模式,即AES-XTS而非AES-ECB,并且验证输入密码的逻辑已更改。
尽管如此,攻击者仍然可以获得执行离线暴力破解攻击所需的所有数据。
该设备由以下四个主要部分组成:
- 东芝硬盘(MQ04ABF100)
- USB转SATA桥接控制器(INIC-3637EN)
- 包含INIC-3637EN固件的SPI闪存芯片(XT25F01D)
- 键盘控制器(未知芯片,标记为"SW611 2121")
对于存储在硬盘上的数据加密,使用了INIC-3637EN的硬件AES引擎。最新安全更新的固件版本使用AES-XTS-256(基于XEX的带密文窃取的调整码本模式)。这种操作模式需要512位XTS密钥和所谓的128位调整值来解密不同的磁盘扇区。
实际数据加密的加密密钥,即所谓的数据加密密钥(DEK),存储在硬盘的一个特殊扇区中,该扇区又使用所谓的密钥加密密钥(KEK)进行加密。
该KEK源自输入的密码,密码长度在5到12位之间,可由键盘控制器生成。
当按下Verbatim Store 'n' Go Secure便携硬盘上的解锁按钮时,生成的AES-XTS密钥的前半部分(32字节)通过SPI通信从键盘控制器传输到USB转SATA桥接控制器INIC-3637EN,与AES-XTS密钥的静态后半部分(32字节)一起配置相应的硬件AES引擎。
为了验证输入的密码,INIC-3637EN的固件读取并使用提供的KEK解密硬盘上的特殊扇区,并检查特定数据偏移量处的已知字节模式。
如果此检查成功,则输入的密码及其派生的AES-XTS密钥被视为正确,使固件能够访问解密的DEK,然后可用于解密实际用户数据。
Verbatim Store 'n' Go Secure便携硬盘的上述设计允许进行离线暴力破解攻击以找到正确密码和相应的DEK。攻击者可以为所有可能的密码生成派生的AES-XTS密钥(KEK),然后尝试正确解密特定硬盘扇区的数据。如果生成的明文满足特定条件,则找到了正确的密码和数据加密密钥,从而允许获得对加密用户数据的未授权访问。
概念验证(PoC)
为了演示离线暴力破解攻击,Matthias Deeg开发了一个暴力破解软件工具,该工具检查5到12位所有可能密码的完整搜索空间。
以下输出示例显示了一次成功的攻击:
# ./vks-cracker 7 /dev/sda
█████ █████ █████ ████ █████████ █████████
█████
░░███ ░░███ ░░███ ███░ ███░░░░░███ ███░░░░░███
░░███
░███ ░███ ░███ ███ ░███ ░░░ ███ ░░░ ████████
██████ ██████ ░███ █████ ██████ ████████
░███ ░███ ░███████ ░░█████████ ░███ ░░███░░███
░░░░░███ ███░░███ ░███░░███ ███░░███░░███░░███
░░███ ███ ░███░░███ ░░░░░░░░███ ░███ ░███ ░░░
███████ ░███ ░░░ ░██████░ ░███████ ░███ ░░░
░░░█████░ ░███ ░░███ ███ ░███ ░░███ ███ ░███
███░░███ ░███ ███ ░███░░███ ░███░░░ ░███
░░███ █████ ░░████░░█████████ ░░█████████ █████
░░████████░░██████ ████ █████░░██████ █████
░░░ ░░░░░ ░░░░ ░░░░░░░░░ ░░░░░░░░░ ░░░░░
░░░░░░░░ ░░░░░░ ░░░░ ░░░░░ ░░░░░░ ░░░░░
... finds out your passcode.
Verbatim Keypad Secure Cracker v0.8 by Matthias Deeg
<matthias.deeg () syss de> (c) 2022,2025
- - ---
[*] Initialize passcode hash table
[*] Found 16 CPU cores
[*] Reading magic sector from device /dev/sda
[*] Initialize passcode hash table
[*] Start cracking ...
[+] Success!
The passcode is: 13372025
The DEK is:
05cf2cc7369e7a380f2c70c6b89fcd857a1ba18e818f60aea55f9acf8e6ffd8fd51bd58dd5519f83bea76cafec34fa91f2e547fd1308a3b255488680d6d3878b
[*] Have a nice day.
解决方案
SySS GmbH尚未了解针对所述安全问题的解决方案。
披露时间线
- 2025-02-21:向制造商报告漏洞
- 2025-03-10:再次向制造商报告漏洞
- 2025-10-20:公开发布安全公告
参考
[1] Verbatim Store 'n' Go Secure便携硬盘产品网站
www.verbatim-europe.com/en/hard-dri…
[2] Verbatim Store 'n' Go便携硬盘安全更新1.0.0.6
www.verbatim-europe.com/files/produ…
[3] SySS安全公告SYSS-2022-005
www.syss.de/fileadmin/d…
[4] 维基百科:磁盘加密理论 - XTS
en.wikipedia.org/wiki/Disk_e…
[5] SySS安全公告SYSS-2025-017
www.syss.de/fileadmin/d…
[6] SySS GmbH,SySS责任披露政策
www.syss.de/en/responsi…
致谢
此安全漏洞由SySS GmbH的Matthias Deeg发现。
电子邮件:matthias.deeg (at) syss.de
公钥:www.syss.de/fileadmin/d…
密钥指纹 = D1F0 A035 F06C E675 CDB9 0514 D9A4 BF6A 34AD 4DAB
免责声明
本安全公告中提供的信息"按原样"提供,且不作任何担保。可能会更新本安全公告的详细信息以提供尽可能准确的信息。本安全公告的最新版本可在SySS网站上获取。
版权
知识共享 - 署名(by)- 版本3.0
URL:creativecommons.org/licenses/by…
