Das richtige Sicherheitsproblem sind inzwischen nicht mehr dir die Daten auf dem Stick oder der Karte, sondern gehackte USB-Controller im Stick, die heimlich deutlich mehr machen, als nur die Daten zur Verfügung zu stellen.
In sensiblen Umgebungen würde ich lieber eine SD-Karte in meinen eigenen Kartenleser stecken als einen fremden USB-Stick anzuschließen.
SD-Karten enthalten genauso wie USB-Sticks einen Controller. Dieser kann theoretisch die gelesenen Daten auch nach Neuformatierung modifizieren und damit den Rechner infizieren. Im Vergleich zu Bad-USB fallen aber einige Angriffsvektoren weg, da sich die SD-Karte nicht als HID-Device ausgeben kann. Ob eine infizierte SD-Karte den Controller im Kartenleser infizieren kann?