USBHarpoon: USB-Ladekabel als Gefahr

Sicherheitsforscher haben den BadUSB-Ansatz von Speichersticks losgelöst und in USB-Ladekabel implementiert.

Wer künftig sein Smartphone an einem Computer via USB-Ladekabel aufladen will, könnte seinen PC mit Malware infizieren. Sicherheitsforscher haben modifizierte Ladekabel namens USBHarpoon mit Micro-USB- und Lightningsteckern vorgestellt. Die Kabel verfügen über eine alternative Firmware und melden sich als Eingabeinterface (HID) an Computern an. Anschließend könnte eine automatisierte Eingabe von Befehlen einen Trojaner installieren.

Das Konzept dahinter ist nicht neu und baut auf dem 2014 vorgestellten BadUSB-Ansatz vom Sicherheitsforscher Karsten Nohl auf. Eigenen Angaben zufolge soll das Kabel ganz normal funktionieren und Geräte aufladen. Bereits im März dieses Jahres stellte der Sicherheitsforscher mit dem Pseudonym MD sein BadUSB Cable vor. Sein Prototyp ist ein USB-C-Kabel zum Aufladen eines Macbooks.

Das eigentliche Problem von BadUSB wurde nie gelöst: Die Kommunikation zwischen PC und USB-Sticks verläuft noch immer in der Regel ohne implementierte Sicherheitsfunktionen über das SCSI-Protokoll. So kann man die Firmware eines Sticks oder nun auch Ladekabels problemlos manipulieren.

Angriffe via USBHarpoon sind in der Theorie nicht nur auf Windows-PCs möglich, auch Linux und macOS-Computer sind gefährdet. Bleibt zu hoffen, dass Computerhersteller das BadUSB-Problem nun wieder auf dem Radar haben und an effektiven Gegenmaßnahmen arbeiten.

Es gibt zwar bereits sogenannte USB-Kondome, die bei USB-Ladekabeln die Datenübertragungspins deaktivieren, doch ist das zum einen keine alltagstaugliche Lösung und andererseits kann man diese auch manipulieren, wie der Sicherheitsforscher MD zeigt.

2018-08-21T12:00:31+00:00