USB Flash闪存驱动器安全分析教学文档<\/h1>

1. 研究背景与概述<\/h2>
本教学文档基于SySS IT安全专家Matthias Deeg对Verbatim Keypad Secure等带有AES硬件加密功能的USB闪存驱动器的安全分析研究。研究发现，尽管这些设备宣称具有256位AES硬件加密和生物识别技术，但实际上存在多个严重安全漏洞。<\/p>

2. 测试方法论<\/h2>

2.1 硬件分析<\/h3>

拆解硬件并识别关键组件<\/li>

主要组件包括：

NAND闪存芯片(TS1256G181)<\/li>
内存控制器(MARVELL-88NV1120)<\/li>
USB至SATA桥接控制器(INIC-3637EN)<\/li>
SPI闪存芯片(XT25F01D)<\/li>

键盘控制器(SW611 2121)<\/li> <\/ul> <\/li> <\/ul>

2.2 固件分析<\/h3>

获取设备固件(通过内存转储或下载)<\/li>
使用工具如Ghidra进行反汇编和反编译<\/li>

分析固件验证机制(发现仅使用简单的CRC-16检查)<\/li> <\/ul>

2.3 软件分析<\/h3>

对设备客户端软件进行静态代码审查和运行时监控<\/li>

(Verbatim Keypad Secure无软件组件，故未进行此项分析)<\/li> <\/ul>

3. 攻击面与场景<\/h2>

攻击需要物理接触设备，可在以下阶段实施：<\/p>

供应链攻击(用户使用前)<\/li>
用户使用后攻击<\/li>
针对丢失\/被盗设备的攻击<\/li>

临时物理访问攻击<\/li> <\/ol>

4. 安全USB闪存驱动器应有的安全特性<\/h2>

所有用户数据安全加密<\/li>
仅授权用户可访问数据<\/li>
无法规避的用户认证流程<\/li>
连续X次失败尝试后自动重置<\/li>
设备完整性加密保障<\/li>
离线暴力破解成本极高<\/li>
庞大的密钥搜索空间(如2^256)<\/li>

难以提取必要数据(需高级设备\/专业知识)<\/li> <\/ol>

5. 发现的安全漏洞<\/h2>

5.1 锁定和重置功能失效(CVE-2022-28386)<\/h3>

宣称：20次密码尝试失败后锁定并需重新格式化<\/li>

实际：无法实现锁定功能，可无限次尝试密码<\/li> <\/ul>

5.2 加密实现缺陷(CVE-2022-28382)<\/h3>

使用AES-256-ECB模式，相同明文产生相同密文<\/li>
加密数据中可见重复模式，缺乏扩散性<\/li>

示例十六进制转储显示重复的16字节模式<\/li> <\/ul>

5.3 固件验证不足(CVE-2022-28383)<\/h3>

固件验证仅使用XMODEM CRC-16算法<\/li>

攻击者可植入恶意固件并通过校验和验证<\/li> <\/ul>

5.4 用户认证缺陷(CVE-2022-28384)<\/h3>

使用可预测的hash32shift2002哈希函数<\/li>
密码仅支持5-12位数字，搜索空间小<\/li>
认证信息存储在SSD特殊块(如125042696号块)<\/li>

可进行离线暴力破解攻击<\/li> <\/ul>

6. 技术细节分析<\/h2>

6.1 加密分析<\/h3>

加密数据中可见重复模式表明使用ECB模式<\/li>
相同16字节明文总是加密为相同16字节密文<\/li>

缺乏密码学扩散性，可能泄露敏感信息<\/li> <\/ul>

6.2 固件分析<\/h3>

使用Ghidra反汇编ARCompact架构固件<\/li>
发现"魔法签名"INI(0x494e4920)用于验证<\/li>
固件中包含π字节序列(未实际使用)<\/li>

可修改固件并通过CRC-16校验<\/li> <\/ul>

6.3 协议分析<\/h3>

SPI通信协议支持6种命令：

0xE1: 设备初始化<\/li>
0xE2: 设备解锁<\/li>
0xE3: 设备锁定<\/li>
0xE4: 未知<\/li>
0xE5: 密码修改<\/li>
0xE6: 未知<\/li> <\/ul> <\/li>

使用XMODEM CRC-16作为校验和<\/li> <\/ul>

6.4 哈希函数分析<\/h3>

使用hash32shift2002整数哈希函数：

uint32_t<\/span> hash32shift2002<\/span>(uint32_t<\/span> hash) {
<\/span><\/span>    hash +=<\/span> ~<\/span>(hash <<<\/span> 15<\/span>);
<\/span><\/span>    hash ^=<\/span> (hash >><\/span> 10<\/span>);
<\/span><\/span>    hash +=<\/span> (hash <<<\/span> 3<\/span>);
<\/span><\/span>    hash ^=<\/span> (hash >><\/span> 6<\/span>);
<\/span><\/span>    hash +=<\/span> ~<\/span>(hash <<<\/span> 11<\/span>);
<\/span><\/span>    hash ^=<\/span> (hash >><\/span> 16<\/span>);
<\/span><\/span>    return<\/span> hash;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
4位数字输入映射到32位哈希值(如"1111"→0x0AC91F2F)<\/li>
<\/ul>
6.5 用户认证实现<\/h3>

认证信息存储在SSD特殊块的前112字节(0x70)<\/li>
解密后前4字节必须匹配"魔法签名"INI(0x494e4920)<\/li>
AES密钥来自键盘控制器的32字节SPI有效负载<\/li>
特殊字节顺序：前16字节和后16字节颠倒<\/li>
<\/ul>
7. 攻击工具与方法<\/h2>
7.1 Verbatim Keypad Secure Cracker<\/h3>

离线暴力破解工具<\/li>
通过分析SSD特殊块和哈希函数破解密码<\/li>
示例成功输出：
[*] Found a plausible magic sector for Verbatim Keypad Secure (#49428)
[*] Initialize passcode hash table
[*] Start cracking...
[+] Success! The passcode is: 99999999
<\/code><\/pre>
<\/li>
<\/ul>
7.2 硬件暴力破解<\/h3>

拆卸键盘控制器并使用扩展板<\/li>
使用Teensy USB开发板模拟按键操作<\/li>
收集所有可能的4位输入哈希值创建查找表<\/li>
<\/ul>
8. 修复与防御建议<\/h2>

使用更安全的加密模式(如CBC或GCM)替代ECB<\/li>
实现更强的固件验证机制(如数字签名)<\/li>
使用更安全的哈希算法(如PBKDF2或bcrypt)<\/li>
增加密码复杂度要求(允许字母和特殊字符)<\/li>
实现真正的尝试次数限制和锁定机制<\/li>
使用安全元件存储加密密钥<\/li>
实现硬件可信根<\/li>
<\/ol>
9. 总结与启示<\/h2>
本研究表明，市场上标榜"安全"的便携式存储设备仍存在已知安全问题：<\/p>

加密实现不当(使用ECB模式)<\/li>
固件保护不足<\/li>
用户认证机制薄弱<\/li>
安全声明与实际不符<\/li>
<\/ol>
这些发现强调了对安全设备进行独立验证的重要性，以及厂商需要采用更严格的安全实践。<\/p>