USB-Sticks: SanDisk SecureAccess 3.02 nicht sicher genug

Um sensible Daten auf USB-Sticks von SanDisk zu schützen, gibt es die Verschlüsselungssoftware SanDisk SecureAccess. Doch diese ist in der Version 3.02 nicht sicher, da ein Angreifer per Wörterbuchangriff oder Brute-Force-Attacke das Passwort herausfinden und an die Daten gelangen kann.

Über das Sicherheitsleck in SanDisk SecureAccess, das nun in SanDisk PrivateAccess umbenannt wurde, informierte der Mutterkonzern Western Digital am Mittwoch und dankte dem Finder Sylvain Pelissier für den Hinweis auf das Problem.

Passwortschutz unzureichend

Wie Western Digital schreibt, nutzte SanDisk SecureAccess 3.02 einen kryptografischen Einweg-Hash mit einem vorhersagbaren Salt, der es anfällig für Wörterbuchangriffe macht. Zudem sei der Passwort-Hash nicht sicher genug, sodass ein Angreifer bei einem Brute-Force-Angriff Benutzerpasswörter mit unzureichendem Rechenaufwand erzwingen und auf die Benutzerdaten zugreifen könne.

Nutzer sollen schnell auf 6.3.5 umsteigen

Mit der neuen Version SanDisk PrivateAccess 6.3.5 sollen die beschriebenen Probleme behoben sein. Seinen Kunden empfiehlt Western Digital unverzüglich auf diese Version umzusteigen. Was beim Upgrade zu beachten ist, verrät eine Anleitung im Detail. Empfohlen wird in jedem Fall zuvor ein Backup der Daten anzulegen, was ebenfalls über die SanDisk-Software möglich sei.