Security: SSD-Tools von WD und SanDisk angreifbar
Sicherheitsexperten von Trustwave konnten in den Dashboard-Programmen für SSDs der Hersteller Western Digital und SanDisk Schwachstellen identifizieren, welche zur Ausführung von Schadcode genutzt werden können.
Dabei stellt sich als schwerwiegendste Schwachstelle die Nutzung von HTTP zur Kommunikation des Programms mit dem Update-Server dar.
Indem ein Angreifer etwa einen Hotspot öffnet, kann dieser die Dashboard-Software zu einem Update verleiten. Dieses wird ohne Verifizierung des Pakets installiert, wodurch Nutzern im Rahmen eines Man-in-the-Middle-Angriffs Schadsoftware untergeschoben werden kann.
Ein zweiter - weniger gefährlicher Fehler - besteht in der Nutzung eines für alle Installationen gleichen Passworts für die Verschlüsselung von Berichten etwa bei Problemen mit der Software. Durch diese Nachlässigkeit können Angreifer einige vertrauliche Informationen erhalten.
Während der erste, kritische Fehler im Rahmen eines Updates behoben wurde, verweist WD in Bezug auf das Passwort auf einen inzwischen geänderten Support-Ablauf.