Wer an einem Computer künftig sein Smartphone via USB-Ladekabel aufladen will, könnte seinen PC mit Malware infizieren. Die Sicherheitsforscher Vincent Yiu et al. haben modifizierte Ladekabel namens USBHarpoon mit Lightning- und Micro-USB-steckern vorgestellt. Diese verfügen über eine alternative Firmware und melden sich an Computern als Eingabeinterface (HID) an. Yiu führt in einem Blogeintrag aus, dass eine automatisierte Eingabe von Befehlen anschließend könnte einen Trojaner installieren könnte.

Das auf dem 2014 vorgestellten BadUSB-Ansatz vom Sicherheitsforscher Karsten Nohl aufbauende Konzept dahinter ist nicht neu. Die Technik wurde lediglich in den USB-Stecker eines Ladekabels verfrachtet. Das Kabel soll zudem Geräte aufladen und ganz normal funktionieren. Der Sicherheitsforscher mit dem Pseudonym MD stellte sein BadUSB Cable bereits im März dieses Jahres vor.

Yiu erläuterte, sein Team arbeite derzeit, um die Betriebsart von USBHarpoon wechseln zu können, an Modellen mit Schaltern. Dies führte er aber nicht weiter aus. Eine Übermittlung von Code via Bluetooth sei eventuell ebenfalls vorstellbar.

Das eigentliche Problem von BadUSB - Die Kommunikation zwischen PC und USB-Sticks - wurde nie gelöst Diese verläuft in der Regel noch immer ohne implementierte Sicherheitsfunktionen über das SCSI-Protokoll. So kann die Firmware eines Sticks oder nun auch Ladekabels problemlos manipuliert werden.

In der Theorie sind Angriffe via USBHarpoon nicht nur auf Windows-PCs, sondern auch Linux und macOS-Computer, möglich. Bleibt zu hoffen, dass Computerhersteller dieses Problemnun wieder auf dem Schirm haben und an effektiven Gegenmaßnahmen arbeiten.

(mt, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE