A német SySS GmbH munkatársai több, NIST 140-2 Level 2 minősítéssel rendelkező pendrive-ot érintő problémát tettek közzé, amely lehetőséget biztosít az eszközökön tárolt titkosított adatok visszaállítására. A fenti minősítéssel rendelkező adathordozókat alkalmazzák az amerikai kormányhivatalok illetve a hadsereg bizalmas adatainak tárolására is. 

A megjelent német nyelvű tanulmányok - melyet a H-Security munkatársai szerencsére angolul is összefoglaltak - leírja, hogy Kingston, SanDisk és Verbatim "szuperbiztonságosnak" kikiáltott USB stickjei ugyanazt a hibás elven működő jelszóbekérő alkalmazást használják. Bár maguk az eszközök hardveres AES-256 titkosítást végeznek, amely természetesen megfelelőnek tekinthető, a SySS kutatói megfigyelték, hogy a jelszóbekérést végző program mindig ugyanazt a bytesorozatot küldi el a pendrive-oknak, a jelszótól függetlenül. Kis módosítással természetesen a programot rá lehet venni, hogy akkor is küldje el ezt a sorozatot és végezze el a titkosított kötetek felcsatolását, ha a jelszó nem volt megfelelő. 

A Kingston visszahívta az érintett termékeket, a másik két gyártó szoftverfrissítést adott ki - megjegyezném, hogy a probléma nem feltétlenül oldható meg pusztán szoftvers úton (természetesen a megvalósítás részleteivel nem vagyok tisztában). Ezen kívül felmerül a kérdés, hogy hogyan kaphattak ezek az eszközök ilyen komoly minősítést, valamint hogy mennyit ér a minősítő rendszer, ha ilyen silány minőségű eszközök is átcsúszhatnak a rostán?

Philippe Oechslin 26C3-as előadásában további kínos eseteken keresztül bemutatta, hogy milyen fantáziadús módokon képesek elbaltázni a különböző gyártók a pendrive titkosítás triviálisnak tűnő feladatát, ezt is érdemes meghallgatni az érdeklődőknek!