Der Sicherheitsexperte Matthias Deeg von der Firma SySS hatte gezeigt, wie einfach sich vermeintlich geschützte Daten aus dem USB-Stick Verbatim Keypad Secure entschlüsseln lassen. Nun knackte Deeg auch den ebenfalls mit Zehnertastatur ausgestatteten USB-Stick Lepin Crypto USB Flash Drive EP-KP001 sowie die USB-SSD Verbatim Executive Fingerprint Secure SSD. In beiden Fällen enttarnte die Untersuchung schwere Sicherheitslücken, die im Grunde leicht vermeidbar sind. Beim Lepin Crypto USB Flash Drive EP-KP001 stellte sich heraus, dass die Daten in Wahrheit nicht mit der versprochenen „militärischen 256-Bit-AES-XTS-Hardware-Verschlüsselung“ geschützt sind. Sondern ein Controller sperrt nur den Zugriff auf den Flash-Speicher, bis man die korrekte PIN eintippt. Tauscht man den Controller eines vermeintlich verschlüsselten USB-Sticks dieses Typs gegen den ausgelöteten Controller eines anderen Sticks gleicher Bauart aus, dessen PIN man kennt, lassen sich die Daten lesen (CVE-2022-29948). Bei der Verbatim Executive Fingerprint Secure SSD entdeckte Matthias Deeg wie beim Keypad Secure desselben Herstellers mehrere Sicherheitslücken. In beiden Fällen ist die Firmware nicht sicher gegen Manipulationen geschützt, etwa durch kryptografische Signaturen. Als Achillesferse der Executive Fingerprint Secure SSD erwies sich die AES-verschlüsselte USB-Kommunikation, bei der das Schlüsselgeheimnis jedoch fest in der zugehörigen Windows-Software eingebaut ist und sich daraus extrahieren lässt. Nach Extraktion des Schlüssels aus dem Code konnte Deeg das Passwort aus der USB-Kommunikation entschlüsseln (CVE-2022-28387). Sicherheitslücken in externen USB-Speichern mit Hardwareverschlüsselung sind zwar schon seit vielen Jahren bekannt, anscheinend jedoch nicht den Entwicklern der jetzt betroffenen Geräte. Daher warnt Deeg vor den Risiken dieser Produkte, von denen viele nur vermeintliche Sicherheit bieten.