Die 'unstoppbare' USB-Sicherheitslücke und was dahinter steckt

Datenschutz, Spracherkennung, USB-Stick Bildquelle: Hammacher
Vor gut zwei Monaten hatten die deutschen Kryptospezialisten Karsten Nohl und Jakob Lell einen USB-Bug vorgestellt, der Betrügern unglaubliche Möglichkeiten bietet auf ein System zuzugreifen. Bei der diesjährigen Black Hat Konferenz hatten Lell und Nohl die Sicherheitslücke demonstriert.
Die Firmware von USB-Controllern kann dabei so manipuliert werden, dass ein USB-Stick beim Einstecken zum Beispiel vorgaukelt, er sei eine Tastatur und kann dann Eingaben tätigen. Das Sicherheitsproblem betrifft daher alle Eingabemöglichkeiten durch Peripheriegeräte. Für Hacker ist das ein wahrer Traum. Die Schwachstelle ist nicht Betriebssystem-spezifisch und kann daher rein theoretisch Jeden treffen.

Entdecker gehen vorsichtig mit ihrem Wissen um

Bislang war die Bad-USB getaufte Sicherheitslücke auch nur rein theoretisch, denn Nohl und Lell haben lediglich die Machbarkeit bewiesen, waren aber mit weiteren Details zur Schwachstelle äußerst vorsichtig umgegangen. Bei der Black Hat Konferenz haben sie sich ausführlich zu dem Problem geäußert und mit dem Vortrag "BadUSB - On accessories that turn evil" die Sicherheitslücke genau beleuchtet.


Die Situation hat sich jetzt grundlegend geändert. Zwei Sicherheitsforscher aus den USA haben die USB-Malware über die Softwareplattform GitHub veröffentlicht. Adam Caudill und Brandon Wilson war es gelungen, Teile der von Nohl und Lell gezeigten BadUSB-Tricks nachzuvollziehen. Sie wollen nun mit einem veröffentlichten Expolit die Arbeiten an einer Lösung anstoßen. Denn in den zwei Monaten seit der ersten Vorführung bei Black Hat hat sich nichts weiter getan. Die Veröffentlichung ist ihrer Meinung ein wichtiger Bestandteil, wenn die Lücke nicht großflächig von Betrügern eingesetzt werden soll.

BadUSBBadUSBBadUSBBadUSB

Der Nachbau

"Wir glauben daran, dass dies alles öffentlich sein sollte. Es darf nicht zurückgehalten werden. Also veröffentlichen wir alles, was wir bereits haben", sagte Caudill bei der Derbycon-Konferenz am Freitag. Ihre Lösung, wie ein BadUSB nachgebaut werden kann, haben sie gleich als Video festgehalten:


Wie weit die Meinungen zu BadUSB auseinander gehen, hat Wired in einem Bericht zu der Sicherheitslücke unterstrichen.

Unstoppbar und unpatchbar?

Während Karsten Nohl sagte, er selbst halte den Bug für "unstoppbar und unpatchbar", und für ein Problem für die kommenden zehn Jahre um alle Schwachstellen von USB zu schließen, haben sich andere Experten bereits beschwichtigend zu Wort gemeldet.

Das Problem sei zwar bedenklich, es betrifft aber allem Anschein nach nur USB-Chips der Firma Phison. Phison ist allerdings einer der Marktführer für USB-Chips. Über eine Umprogrammierung kann deren USB-Microcontroller-Firmware genutzt werden, um Malware zu verbreiten.

Zudem könne das Problem auf der anderen Seite, nämlich durch entsprechende Sicherheitssoftware am Rechner, abgefangen werden. Der G Data USB Keyboard Guard ist ein solches Tool, das bereits seit Mitte September angeboten wird.

Download
G Data USB Keyboard Guard
Datenschutz, Spracherkennung, USB-Stick Datenschutz, Spracherkennung, USB-Stick Hammacher
Diese Nachricht empfehlen
Kommentieren76
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 04:55 Uhr[NEU] Pico Multimedia Projektor Wi-Fi VPRO1 - HD Ultra-Kompakte Projektor - Wifi, Bluetooth, HDMI - Tragbarer Home Cinema
[NEU] Pico Multimedia Projektor Wi-Fi VPRO1 - HD Ultra-Kompakte Projektor - Wifi, Bluetooth, HDMI - Tragbarer Home Cinema
Original Amazon-Preis
399,99
Im Preisvergleich ab
?
Blitzangebot-Preis
299,99
Ersparnis zu Amazon 0% oder 100
Nur bei Amazon erhältlich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden