Svista nell'app Dashboard di Western Digital e SanDisk: non usava la crittografia

Western Digital e SanDisk hanno riconosciuto l’esistenza di due vulnerabilità nell’applicazione Dashboard, utilizzabile per verificare lo stato delle unità SSD e ottimizzarne il funzionamento.
I possessori di unità SSD Western Digital e SanDisk che si servono dell’applicazione Dashboard sono invitati ad aggiornarla all’ultima versione, scaricabile facendo riferimento ai link pubblicati a questo indirizzo.

I ricercatori di TrustWave hanno infatti scoperto due lacune: le versioni dell’app Dashboard antecedenti alla release 2.5.1.0 non utilizzavano alcun algoritmo crittografico per verificare la presenza di eventuali aggiornamenti sui server Western Digital e SanDisk. Inoltre, le informazioni inviate allo staff tecnico di Western Digital e SanDisk (su richiesta dell’utente) erano protette con una semplice password hard-coded ovvero unica per tutte le installazioni a livello mondiale della Dashboard.

Gli esperti di TrustWave hanno osservato che un aggressore poteva facilmente sferrare un attacco man-in-the-middle e provocare l’esecuzione di codice arbitrario in modalità remota sostituendo l’aggiornamento legittimo veicolato attraverso i server Western Digital e SanDisk con un eseguibile potenzialmente dannoso.

Le due società confermano di aver risolto entrambi i problemi e invitano gli utenti a installare la versione 2.5.1.0 della Dashboard. Le lacune di sicurezza erano state segnalate privatamente ad aprile, gli aggiornamenti sono stati rilasciati l’11 luglio scorso mentre oggi è stata pubblicata una disamina tecnica di entrambe le problematiche.