USB fash disky s certifikáciou NIST boli cracknuté

Mnohé spoločnosti ako Kingston, SanDisk, či Verbatim ponúkajú USB falsh disky s 256 bit. AES hardvérovým šifrovaním, toto šifrovanie by malo spĺňať vysoké bezpečnostné štandardy podľa FIPS 140-2 Level 2 cerifikátu, ktorý vydala National Institute of Standards and Technology (NIST). No podľa bezpečnostnej firmy SySS sú tieto USB falsh disky zraniteľné. Konkrétne je zraniteľný mechanizmus zadávania hesla. Nech používateľ zadal akékoľvek heslo k dešifrovaniu dát, výsledná informácia pre zariadenie ostávala rovnaká. Čiže útočníkovi by stačilo zaslať pre prístup k dátam len túto správu. Po oznámení tejto zraniteľnosti sa každý z predajcov zachoval odlišne: Kingston stiahol všetky problematické výrobky z trhu, SanDisk a Verbatim vydali správy o "potenciálnej" zraniteľnosti v aplikácii access control (prístupová kontrola), s tým, že dôjde k aktualizácií ich software.
Zaujímavé je, že táto zraniteľnosť v procese autentifikácie unikla očiam testerov. Jednou z možností je, že bola implementovaná umelo, za účelom zjednodušenia testovania, ale vývojári ju následne zabudli odstrániť.