BadUSB: Der USB-Stick als digitale Waffe

3. Oktober 2014, 13:43
48 Postings

Speicher gibt sich als anderes Gerät aus - Forscher veröffentlichen Anleitung und Werkzeuge im Internet

Mit relativ wenig Aufwand ist es möglich, aus einfachen USB-Sticks gefährliche Angriffswerkzeuge zu machen. Das haben zwei Forscher erfolgreich erprobt und bestätigen damit ein Experiment des Kryptoexperten Karsten Nohl.

Gefährliches Multitalent

Er hatte demonstriert, dass durch die Modifikation der Firmware eines USB-Speichers dieser einem Rechner vorgaukeln kann, ein anderes Gerät zu sein. So ist es etwa möglich, dass er sich als Tastatur ausgibt und mit den Rechten des gerade angemeldeten Users Befehle ausführt. Auf diesem Wege ließen sich etwa Daten abgreifen oder Malware installieren.

Ein manipulierter Stick könnte auch vortäuschen, eine Netzwerkkarte zu sein. Dies würde Manipulationen an den Netzwerkverbindungen des jeweiligen Systems erlauben. Auch die direkte Übertragung eines Virus während es Bootvorgangs ist denkbar. Möglich ist hierfür auch die Einrichtung versteckter Partitionen.

Passwortschutz aushebelbar

Außerdem, so schreibt Heise, kann der Passwortschutz eines Sticks auf diesem Wege ausgehebelt werden, sodass der entsprechende Abfragedialog jedes beliebige Kennwort akzeptiert. Ein argloser Nutzer könnte unter falscher Annahme von Sicherheit sensible Daten auf dem Stick ablegen. Möglich sind die Manipulationen aufgrund der an sich praktischen Unversalität des USB-Standards, über welchen eine enorm große Bandbreite an diversen Geräten angeschlossen werden kann.

Tools online

Die beiden Forscher, Adam Caudill und Brandon Wilson haben, im Gegensatz zu Nohl, nun Anleitung und Werkzeuge ("Psychson") veröffentlicht, über welche die Manipulation von USB-Sticks möglich ist. Voraussetzung ist allerdings, dass das Gerät den Phison-2251-03-Controller nutzt. Entsprechende Sticks erhält man bereits um weniger als zehn Euro, das Verfahren soll sich aber ohne großem Aufwand auch für andere Phison-Controller portieren lassen. (gpi, derStandard.at, 03.10.2014)

adrian crenshaw
  • Das Umsetzen von BadUSB erfordert nicht all zu viele Vorkenntnisse.

    Das Umsetzen von BadUSB erfordert nicht all zu viele Vorkenntnisse.

Share if you care.