BadUSB: Hälfte aller USB-Sticks für Angriffe anfällig

13. November 2014, 14:16
13 Postings

Vom SD-Karten-Adapter bis zur Webcam - Sicherheitsforscher zeigen neue Angriffswege

Es ist so etwas wie ein Albtraum der Computerbranche: Ein Angriffsweg, der grundlegende Hardwaredefizite ausnutzt, und so durch ein Softwareupdate nicht so einfach zu vertreiben ist. Genau dies haben die Sicherheitsforscher rund um Karsten Nohl unter dem Namen BadUSB vor einigen Monaten demonstriert, nun legt man noch einmal nach.

Gute "Chancen"

In einem Vortrag auf der Sicherheitskonferenz PacSec betonte Nohl zunächst den Umfang der Gefährdung, wie heise berichtet. Rund die Hälfte sämtlicher USB-Geräte sei für BadUSB-Attacken anfällig. Die Palette reiche dabei von der Webcam bis zum SD-Karten-Adapter.

Beispiele

So könnte etwa über eine speziell präparierte SD-Karte Schadcode eingeschmuggelt werden, indem sich diese als Keyboard ausgibt und Tastatureingaben vornimmt. In einer weiteren Demonstration zeigte Nohl, wie ein verbundenes Smartphone sämtlichen Netzwerkverkehr über sich umleiten - und damit mitlesen - konnte.

Controller

Ausschlaggebend dafür, ob ein USB-Gerät verwundbar ist oder nicht, ist der verwendete Controller Chip. So lassen sich manche nicht von außen umprogrammieren, was aber ebenso für einen Angriff notwendig ist, wie ein beschreibbarer, integrierter Flash-Speicher. Nohl kritisiert in dem Zusammenhang, dass er bisher auf keinem einzigen der Geräte einen sicheren Update-Mechanismus mit signierter Firmware gefunden habe.

Zugriff

Der größte beschränkende Faktor für BadUSB-Attacken bleibt die Notwendigkeit des physischen Zugriffs. Insofern werden solche Methoden wohl vor allem für gezielte Attacken gegen einzelne Personen zum Einsatz kommen, etwa im Rahmen staatlicher Überwachung oder bei Wirtschaftsspionage. (red, derStandard.at, 13.11.2014)

  • Sichereitsforscher Karsten Nohl.
    foto: thomas peter / reuters

    Sichereitsforscher Karsten Nohl.

Share if you care.