Sicherheitslücke

31. Juli 2014 14:47; Akt: 31.07.2014 14:47 Print

«USB-Sticks sind nicht mehr vertrauenswürdig»

Zwei Berliner Forschern ist es gelungen, mit Schwachstellen in USB-Steckern jedes denkbare Gerät zu kapern. Diese Angriffe sind mit heutigen Mitteln unmöglich abzuwehren.

storybild

Mit manipulierten USB-Sticks können Forscher jeden beliebigen Computer kapern. (Bild: Colourbox.com)

Zum Thema
Fehler gesehen?

USB-Sticks, Webcams und externen Tastaturen ist nicht mehr zu trauen: Zwei Mitarbeiter des Berliner Security Research Labs (SRLabs) haben eine neue Schwachstelle bei Geräten mit USB-Anschluss gefunden. Ihnen ist es gelungen, den sogenannten Controller-Chip darin zu manipulieren. Dieser Chip ist eigentlich dafür gedacht, dass der Computer mit einem per USB angehängten Gerät kommunizieren kann. Die Forscher haben die darauf installierte Firmware aber so verändert, dass sich ein Gerät als ein anderes ausgeben kann.

Ein Beispiel: Ein manipulierter USB-Stick wird zwar vom PC weiterhin als externes Speichermedium erkannt und kann auch als solches genutzt werden, übernimmt aber die Funktion einer Tastatur. Damit kann im Hintergrund ein Code ausgeführt werden. So kann ein Angreifer – ohne das Wissen des Nutzers – den Computer kapern.

In einer Vorführung zeigen die Forscher, was alles möglich ist. Sie lesen Passwörter mit, machen heimlich Bilder mit der Webcam oder schauen, was für Websites gerade auf dem PC geöffnet sind. Ein solcher Angriff ist kaum zu erkennen und praktisch nicht zu verhindern. «Es gibt keinen Mechanismus, der einen USB-Stick davon abhält, eine Tastatur zu werden», sagt Karsten Nohl, Leiter des SRLabs, in der «Zeit».

Kein System ist sicher

Laut den Forschern ist die Methode sehr flexibel. Um einen Computer zu übernehmen, reicht auch schon ein manipuliertes Smartphone, das man zum Aufladen am PC einsteckt. «In Sachen Angriffspotenzial sind der Fantasie keine Grenzen gesetzt», sagt Nohl. Die Methode ist plattformübergreifend auf Windows-, Apple- und Linux-Computern einsetzbar. Besonders fies: Der USB-Virus kann sich selbst auf den Rechner kopieren, um zu einem späteren Zeitpunkt weitere Geräte zu infizieren.

Für die Entwicklung der neuen Angriffsmethode haben die Forscher nur wenige Monate gebraucht. Ihnen geht es darum, auf die Gefahr aufmerksam zu machen. Denn: Wer über die nötigen personellen und finanziellen Mittel verfüge, könnte die von den Forschern entwickelte Methode ebenfalls umsetzen, sagen sie. Nohl hält USB-Sticks grundsätzlich nicht mehr für vertrauenswürdig. Zum Tausch von Dateien schlägt er den Gebrauch von SD-Karten vor – denn diese könnten sich nicht als anderes Gerät ausgeben.

Nächsten Donnerstag wird SRLabs ihre Forschungsergebnisse an der Sicherheitskonferenz Black Hat in Las Vegas präsentieren.

(tob)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • badboy am 31.07.2014 15:31 Report Diesen Beitrag melden

    Logisch

    Logisch, sicher ist nichts auf der Welt nur der Tod.

    einklappen einklappen
  • Pixel am 31.07.2014 15:33 Report Diesen Beitrag melden

    Sicherheit gibt es NIE!

    Es ist ja in Ordnung das über so was berichtet wird, vielen war dieser Umstand noch nicht bekannt. Was mich aber irritiert ist das immer wieder darauf hingewiesen wird, dass dies oder jenes nicht sicher sei. Wer weiss denn heute noch nicht das es bei digitalen Geräten KEINE Sicherheit gibt. Jedes kommunikationsfähige System hat Lücken, Ob PC, Tablett, Handy oder Steuerungen, selbst Reisepässe oder Kreditkarten können kontaktlos ausgelesen werden.

    einklappen einklappen
  • mmtec am 31.07.2014 15:19 via via Mobile Report Diesen Beitrag melden

    alles manipulieren

    Das ist für mich nichts neues. Alle träger und kann man so manipulieren oder umschreiben.

Die neusten Leser-Kommentare

  • Dr. Meier am 01.08.2014 08:29 via via Mobile Report Diesen Beitrag melden

    Was soll Die Aufregung...

    Es ist kein System sicher an das jemand physikalisch ran kann!!!

  • Ben am 01.08.2014 00:14 via via Mobile Report Diesen Beitrag melden

    Nicht so tragisch

    Den Trick gibts doch schon ewig. Man kann sogar so ein ding kaufen, auf dem man dann Eingaben vordefinieren kann. USB-Duck oder so heisst das Ob das jetzt wirklich ein soo grosses Problem ist, da man ja nur Userrechte hat... Ich persönlich finde USB-Keylogger problematischer..

  • Holy am 31.07.2014 20:59 via via Mobile Report Diesen Beitrag melden

    Gähn

    Wer sucht, der findet.... anscheinend Selbstbestätigung durch Panikmache. Haben die Forscher nichts sinnvolleres zu tun?

  • Jan E. am 31.07.2014 20:55 Report Diesen Beitrag melden

    Asbach Uralt

    Der Ansatz mit der falschen Geräteklasse ist schon seit Jahren bekannt und wird schon seit Ewigkeiten aktiv ausgenutzt (Stichwort: Rubber Ducky)

  • charly am 31.07.2014 19:50 Report Diesen Beitrag melden

    Sicheres E-Banking

    LOL, dachte nur das Chinesische N9500 sei unsicher. Gut, dass die Bankangestellten uns immer auf E-Banking drängen wollen. Tan und co. sind ja soooo sicher.