検証されない主張はほとんどない。こぼれないマグカップが叩きつけられ、割れない皿が壁に投げつけられ、ハッキングできないデバイスがセキュリティ研究者によって分解される。約束を守る製品もあるが、ペンテストパートナーズは5月9日、eyeDiskはそうではないと発表した。
EyeDiskは、従来のパスワードではなく虹彩認証を利用することで、「ハッキング不可能」なストレージを提供するとされています。このプロジェクトは、2018年にIndiegogoで21,892ドル、今年初めにはKickstarterで21,112ドルの資金を調達しました。デバイスの出荷は3月19日に開始され、セキュリティ企業のPen Test Partnersは4月にeyeDiskの主張を検証しましたが、すぐにeyeDiskは謳い文句ほど安全ではないことが判明しました。
幸いなことに、eyeDiskの虹彩認証は誤検知に悩まされることはありませんでした。これは生体認証セキュリティメカニズムでよくある問題で、指紋スキャナや顔認証、そしてそれらの類似製品は、体の正しい部位の写真で誤検知されることがよくあります。しかし、Pen Test Partnersの調査では、eyeDiskは偽造写真でも誤検知されなかったため、少なくともシステムのその部分は正しく動作していたと言えるでしょう。
残念なことに、eyeDiskはロック解除パスワードとハッシュを平文で含むパケットを送信するため、USBスニファーで盗聴されてしまう。「このソフトウェアはまずパスワードを収集し、ユーザーが入力したパスワードを検証してからロック解除パスワードを送信します」とPen Test Partnersは述べている。「ハッキング不可能という主張を考えると、これは非常に脆弱なアプローチであり、デバイスのセキュリティを根本的に損なうものです。」
EyeDisk社は4月4日にこの問題について知らされたと報じられています。その後、EyeDisk社との連絡は断続的に行われ、4月9日以降は3回連絡を取ったにもかかわらず、返答がありません。EyeDisk社の連絡先は見つかりませんでした。どちらのクラウドファンディングプラットフォームにもメールアドレスは記載されておらず、プレスキットのDropboxリンクは期限切れです。また、EyeDisk社のウェブサイト上のソーシャルリンクはWixのアカウントにリンクされています。
Pen Test Partnersは、eyeDiskユーザーに対し、「データをデバイスにコピーする前に暗号化するなど、追加の制御を適用しない限り、データ保護の手段としてeyeDiskに頼るのはやめてください」と勧告しました。また、企業に対して、自社製品がハッキング不可能であると主張するのをやめるよう勧告しましたが、これは賢明なアドバイスであるため、おそらく無視されるでしょう。ハッキング不可能なデバイスのマーケティングポテンシャルは、企業にとって無視できないほど大きいのです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
