Western Digital warnt vor Sicherheitslücke in SanDisk PrivateAccess

Western Digital informiert Kunden jetzt über eine Sicherheitslücke, die es Angreifern ermöglichte, die Neuvergabe von SanDisk SecureAccess-Passwörter zu erzwingen und mit denen dann auf die geschützten Dateien der Nutzer zuzugreifen. Das Sicherheitsupdate ist gestartet. SanDisk PrivateAccess, früher als SanDisk SecureAccess bezeichnet, wird für die Speicherung und den Schutz sensibler Dateien auf SanDisk USB-Flash-Laufwerken genutzt. Dabei wurde nun aber eine Schwachstelle entdeckt, die den extra Schutz für die Daten aushebelt. Das berichtet das Online-Magazin Bleeping Computer. "SanDisk SecureAccess 3.02 verwendete einen einseitigen kryptografischen Hash mit einem vorhersehbaren Salt, was es anfällig für Wörterbuchangriffe durch einen böswilligen Benutzer macht", erklärte Western Digital in einer neu veröffentlichten Sicherheitsempfehlung.

Brute-Force-Attacke, um Passwörter zu erzwingen

"Die Software verwendete außerdem einen Passwort-Hash mit unzureichendem Rechenaufwand, der es einem Angreifer ermöglichen würde, Benutzerpasswörter mit roher Gewalt zu erzwingen, was zu einem nicht autorisierten Zugriff auf Benutzerdaten führen würde. "Wir empfehlen unseren Kunden dringend, dieses Software-Update sofort zu installieren, um ihre Vault-Geräte zu schützen", so Western Digital weiter.

Die Schwachstelle (CVE-2021-36750) wurde mit der Veröffentlichung von SanDisk PrivateAccess Version 6.3.5 behoben. Die neue Version nutzt nun PBKDF2-SHA256 zusammen mit einem zufällig generierten Salt. Um das PrivateAccess Vault zu aktualisieren, benötigt man die jeweils aktuellste Version von iXpand Drive Mobile App beziehungsweise die Windows- oder MacOS Desktop-App. Western Digital empfiehlt vor der Aktualisierung zur Vorsicht eine Sicherung der Daten mit der integrierten Backup-Funktion zu machen.

Siehe auch: Mehr als 500 Euro: SanDisk MicroSD mit 1 Terabyte jetzt im Handel