荷蘭Radboud大學研究人員發現，具有物理訪問權限的攻擊者可以繞過三星和英睿達現有的保護機制，對其自加密固態存儲驅動器進行篡改，在不知道用戶密碼的情況下就能夠訪問數據。這一問題會影響到Mac、Linux和Windows系統的內外部存儲設備。
該問題涉及到兩類漏洞，都源于使用TCG Opal加密標準。第一類漏洞(CVE-2018-12037)是由于終端用戶提供的密碼和用于用戶數據加密的密碼密鑰之間沒有進行加密綁定。
研究人員解釋說，
數據信息可由攻擊者在驅動控制器上執行相應代碼來恢復（例如可通過JTAG、內存損壞、存儲芯片內容操作和故障注入實現），如此，用戶數據的機密性將不再受保密機制的保障。
而第二類漏洞（CVE-2018-12038）涉及磨損后的存儲芯片內的信息，也就是說，它能通過硬件優化延長芯片的使用壽命。
研究人員解釋道，
對同一邏輯扇區發出多次寫入操作可能會寫入不同的物理扇區，在最終用戶設置密碼的情況下，未加保護的密鑰信息將在邏輯級別上被加密的變體覆蓋。但是，未受保護的密鑰信息可能仍然存在于存儲芯片中。
Tripwire漏洞與暴露研究小組的計算機安全研究員Craig Young在一封電子郵件中表示，
多層安全方法才是最好的實踐方法。對這些設備進行加密是一種嚴重的誤導。指望硬盤制造商為其存儲的數據提供有意義的安全保障，就像讓瘋子管理精神病院一樣。 最好的安全保護是分層的，在這種情況下，才意味著能不依賴于驅動器處理身份驗證、加密和數據存儲。
分析團隊利用這兩類漏洞能夠成功地進行數據恢復攻擊。當前，他們沒有發布關于概念驗證的任何細節，但表示攻擊需要進行大量的逆向工程。由于開發困難，這兩類漏洞被評為為中等嚴重程度。然而，這些漏洞也存在著被它人利用、使其自動化，從而被濫用的風險。
為了解決這個問題，研究人員建議除了固態存儲驅動器（SSD）需要內置加密之外，還要實施軟件加密。不過他們也警告說，用戶不應該依賴Windows的BitLocker機制。如果存在硬件加密，BitLocker機制會自動關閉。因此，對于這些驅動器，受BitLocker保護的數據也會受到損害。研究人員建議，對于受影響的模塊，必須更改默認設置，以便僅使用軟件加密。
這個默認更改可以在Windows的組策略設置中處理——但是，這不會重新加密已經部署好的ssd上的數據。因此，對于ssd的基礎安裝，管理員將需要完全重新安裝存儲設備，包括重新格式化內部驅動器，以執行BitLocker軟件加密。
研究人員Carlo Meijer在一份媒體聲明中表示，
針對這個問題相關機構需要采取行動，尤其是那些在這類設備上存儲敏感數據的組織機構。也有一些消費者啟用了數據保護機制。但大多數消費者沒有這樣做。
研究人員證實，這些缺陷會影響Crucial（美光）MX100，MX200和MX300內置硬盤; 三星T3和T5 USB外置磁盤; 三星840 EVO和850 EVO內置硬盤。 其他使用TCG Opal的SSD也可能容易受到攻擊，但未經過測試。
上述的兩家制造商都于今年4月份被荷蘭國家網絡安全中心（NCSC）告知過這些缺陷的存在。據研究團隊稱，三星已經發布了便攜式驅動器的固件更新，但一般情況下，固件不會解決這些問題。
他們指出，
很難評估今后的更新能否正確解決問題，因此，我們認為更新驅動器固件不是其他保護機制（如軟件加密）的正確替代方案。