MicroSD-Karten sind ein potentielles Sicherheitsrisiko. Auf den kleinen Speicherchips befindet sich ein Microcontroller, der sich mit etwas Geschick und der nötigen Ausrüstung programmieren lässt, um zum Beispiel eine Schadsoftware zu schreiben.
Die auf dem 30. Chaos Computer Congress gezeigte Lösung von bunnie und xobs zeigt, dass MicroSD-Karten ein Sicherheitsrisiko darstellen. Einige Hersteller verbauen auf den Karten minderwertigen oder wiederverwerteten Flashspeicher und ergänzen die Karte dann um einen billigen Controller, der die potentiellen Fehler korrigiert. Das Resultat ist billiger, als hochwertigen Flash-Speicher zu benutzen. Bei den benutzten Controllern handelt es sich um einfachste ARM-Prozessoren mit einer Taktrate von bis zu 100 MHz, die sich — das nötige Know-How einmal erworben — programmieren lassen. So könnte ein Angreifer theoretisch eine Schadsoftware für den Controller programmieren, die dann startet, wenn der Nutzer die Karte in sein Android-Smartphone einlegt und wichtige Informationen abgreift. Betroffen von der Schwachstelle sind alle Arten von SD-Karten, nicht nur MicroSD-Speicherchips. Aufgrund der sehr großen Vielfalt an Karten selbst unter der gleichen Typenbezeichnung lässt sich aber keine genaue Liste erstellen. Auch USB-Sticks verfügen in den meisten Fällen über einen entsprechenden Controller, der sich präparieren lässt.
Dass die gefundene Lücke keineswegs nur theoretischer Natur ist, zeigte Samsung vor einem Jahr. Hier kam es bei einigen Samsung-Smartphones zu Problemen mit dem internen Flash-Speicher, die Samsung über ein Update der Microcontroller-Firmware behob.
