Support

Open search

Sicherheitslücke in selbstverschlüsselnden Samsung-SSDs: Fehlerbehebung?

Apprentice

Moin zusammen,

 

wir nutzen mehrere Samsung SSDs der Modelle 850 Evo und 970 Evo, die laut Samsung-Spezifikation alle eine AES-256-Bit-Hardwareverschlüsselung bieten sollen.

 

Nach aktuellen Erkenntnissen weist die Implementierung der Hardwareverschlüsselung der 850 Evo jedoch so starke Sicherheitslücken auf, dass sich die angeblich „verschlüsselten“ Daten ohne Kenntnis eines Passworts auslesen lassen, vgl. https://www.ru.nl/publish/pages/909275/draft-paper_1.pdf.

 

Leider habe ich von Samsung bisher keinerlei Informationen zur Behebung der Sicherheitslücken gefunden, sondern lediglich den lapidaren Hinweis, man solle eine Software-Verschlüsselung nutzen, vgl. https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/.

 

Wer kann mir sagen, ob für das Modell 850 Evo bereits eine fehlerbereinigte Firmware-Version bereitsteht bzw. ob die gefundenen Sicherheitslücken über ein Firmware-Update überhaupt behebbar sind?

 

Für das Modell 970 Evo würde mich interessieren, ob diese SSDs ebenfalls von den beschriebenen Sicherheitslücken betroffen sind und falls ja, wie Samsung diese zu beheben gedenkt.

5 ANTWORTEN 5
FabianD Moderator
Moderator

Hallo BeBa47,

 

das offizielle Statement von Samsung lautet so:

 

Samsung Electronics wurde vom National Cyber Security Centre in den Niederlanden (NCSC-NL) über mögliche Schwachstellen einiger unserer SSDs informiert. Diese Schwachstellen können es potenziellen Angreifern ermöglichen, Informationen von einer SSD ohne Passwortverifizierung zu erhalten. Die Lücke kann allerdings nicht aus der Ferne ausgenutzt werden und beschränkt sich daher auf Situationen, in denen der Angreifer direkten Zugriff auf die SSD hat.

 

Bei Samsung nehmen wir den die Sicherheit und den Datenschutz unserer Kunden sehr ernst. Daher arbeiten wir seit den ersten Hinweisen eng mit der NCSC-NL an einer Lösung. Wir werden die Situation weiterhin beobachten und stelle unter folgendem Link stetige Updates bereit: www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/.

 

Viele Grüße

FabianD
*Samsung Community - Moderator*
*****************************
Samsung Support-Mitarbeiter gesucht!
Du liebst den Kontakt und die Kommunikation mit Menschen und begeisterst dich für technische Produkte?
Dann suchen wir genau dich! Schreib uns eine Privatnachricht für weitere Infos.
Apprentice

Hallo Fabian,

 

danke für Deine Rückmeldung. Leider beantwortet die offizielle Stellungnahme keine meiner Fragen. Insbesondere finde ich immer noch keinerlei Information von Samsung, welche Serien von der Sicherheitslücke betroffen sind, ob die Sicherheitslücke grundsätzlich per Firmware-Update behoben werden kann oder ob sie so fundamental ist, dass sie gar nicht behebbar ist. Für externe Modelle scheint ein Patch bereit zu stehen. Wieso (noch) nicht für interne Modelle? Inwiefern greift hier die 5-jährige Garantie? Tauscht Samsung betroffene Modelle kostenfrei gegen nicht betroffene SSDs? Sofern es überhaupt nicht betroffene Modelle gibt...

 

Als führendem SSD-Hersteller, dem Sicherheit wichtig ist, sollte es Samsung möglich sein, seinen Kunden adäquate Informationen bereitzustellen, zumal die Sicherheitslücke nicht erst seit gestern bekannt ist.

 

Bitte informieren Sie mich - und alle anderen betroffenen Kunden - über das weitere Vorgehen hinsichtlich dieser schwerwiegenden Sicherheitslücke. Vielen Dank!

Apprentice
Und noch eine kurze Ergänzung, zu der von Dir verlinkten Landing-Page: Die Seite scheint seit 10 Tagen unverändert zu sein. Sie trägt noch nicht mal ein Datum, von wann die Informationen sind. Unter „stetigen Updates“ hätte ich mir etwas anderes erwartet...
Apprentice

Hallo FabianD,

 

es sind nun zwei Monate vergangen, ohne dass von Samsung neue Informationen zu den Sicherheitslücken zur Verfügung gestellt wurden. Wie ist der aktuelle Stand? Wird es einen Fix geben oder sind die Sicherheitslücken so fundamental, dass sie nicht durch ein Firmware-Update behoben werden können?

 

FabianD Moderator
Moderator

Hallo BeBa47,

 

wenn es zu dem Thema neue Informationen gibt, wird Samsung sie über die oben verlinkte Seite bekannt geben. Bei einer konkreten Frage zu den von dir genutzten SSDs helfen dir auch gerne unsere SSD-Spezialisten weiter, die du unter der Rufnummer 06196 77 555 77 erreichst (Montag bis Freitag zwischen 08:30 und 17:00 Uhr). Alternativ kannst du die folgende E-Mail Adresse nutzen: hotline@hanaro.eu.

 

Viele Grüße

FabianD
*Samsung Community - Moderator*
*****************************
Samsung Support-Mitarbeiter gesucht!
Du liebst den Kontakt und die Kommunikation mit Menschen und begeisterst dich für technische Produkte?
Dann suchen wir genau dich! Schreib uns eine Privatnachricht für weitere Infos.
Autoren, für die die meisten Likes vergeben wurden