西部数据闪迪SecureAccess 漏洞允许暴力破解和字典攻击

西部数据发布了其 SanDisk SecureAccess 软件的更新，以修复多个漏洞，这些漏洞可被利用来通过暴力破解和字典攻击来访问用户数据。

SanDisk SecureAccess 软件，现在更名为 SanDisk PrivateAccess，允许在 SanDisk USB 闪存驱动器上存储和保护关键和敏感文件。

对用户私人保管库的访问受个人密码保护，所有文件均自动加密。

据供应商称，SanDisk SecureAccess 3.02 版使用的是带有可预测盐的单向加密散列，这意味着该软件容易受到字典攻击。该软件还使用计算量不足的密码哈希，因此，攻击者可以暴力破解用户密码，从而导致对用户数据的未授权访问。

“SanDisk SecureAccess 3.02 使用单向加密散列和可预测的盐分，使其容易受到恶意用户的字典攻击。该软件还使用了计算量不足的密码哈希，这将允许攻击者暴力破解用户密码，从而导致对用户数据的未授权访问。” 读取咨询由SanDisk发布。

“上述两个密钥派生函数问题都已在 SanDisk PrivateAccess 版本 6.3.5 中得到解决。SanDisk SecureAccess 已更名为 SanDisk PrivateAccess。”

这些漏洞被追踪为 CVE-2021-36750，由研究员 Sylvain Pelissier 发现。西部数据通过发布 SanDisk PrivateAccess 版本 6.3.5 解决了这个问题。

“密钥派生函数问题已经通过使用 PBKDF2-SHA256 和随机生成的盐来解决，”该建议继续说道。