Ricercatori dell’Università Radboud (Nijmegen, Baesi Bassi) hanno individuato due vulnerabilità nelle specifiche ATA Security e TCG Opal delle unità a stato solido (SSD) autocifranti, una falla che riguarda unità commercializzate da aziende come Samsung e Crucial e che teoricamente potrebbe consentire a un attaccante che ha accesso accesso fisico ai dispositivi di decifrare i dati memorizzti senza conoscere la chiave di cifratura o la password di protezione.
Le unità per le quali sono state dimostrate la vulnerabilità, sono:
- Unità interne Crucial (Micron) MX100, MX200 et MX300;
- Unità esterne Samsung T3 e T5 USB;
- Unità interne Samsung 840 EVO e 850 EVO
Per proteggere i propri dati è possibile attivare funzionaltià di cifratura software come ad esempio Filevault di Apple (Preferenze di Sistema > Sicurezza e Privacy > FileVault). Samsung ha annunciato degli aggiornamenti firmware per risolvere il problema; Micron, almeno nel momento in cui scriviamo, non ha indicato come intende procedere.
La prima falla (indicata nel database delle vulnerabilità come CVE-018-12037) riguarda la mancanza di correlazione crittografica tra la password impostata dall’utente e la chiave utilizzata per la cifratura del disco; la seconda vulnerabilità (CVE-2018-12038) è legata alla memorizzazione della chiave di cifratura in chip con il wear leveling, un meccanismo che aiuta a ridurre il prematuro deterioramento delle celle di memoria NAND Flash.
A questo indirizzo trovate una nostra guida con tutto quello da sapere sulle unità SSD (cosa sono, come scegliere, quali sono i vantaggi, ecc.).
