USBHarpoon: USB-Ladekabel als Gefahr

Sicherheitsforscher haben den BadUSB-Ansatz von Speichersticks losgelöst und in USB-Ladekabel implementiert.

In Pocket speichern vorlesen Druckansicht 295 Kommentare lesen
USBHarpoon: Gefährliche USB-Ladekabel vorgestellt

Die USBHarpoon-Ladekabel sehen ganz normal aus und laden Geräte wie erwartet. Doch im Hintergrund können sie Computer mit Malware inifizieren.

(Bild: Vincent Yiu)

Lesezeit: 2 Min.

Wer künftig sein Smartphone an einem Computer via USB-Ladekabel aufladen will, könnte seinen PC mit Malware infizieren. Die Sicherheitsforscher Vincent Yiu et al. haben modifizierte Ladekabel namens USBHarpoon mit Micro-USB- und Lightningsteckern vorgestellt. Die Kabel verfügen über eine alternative Firmware und melden sich als Eingabeinterface (HID) an Computern an. Anschließend könnte eine automatisierte Eingabe von Befehlen einen Trojaner installieren, führt Yiu in einem Blogeintrag aus.

Das Konzept dahinter ist nicht neu und baut auf dem 2014 vorgestellten BadUSB-Ansatz vom Sicherheitsforscher Karsten Nohl auf. Nun haben Yiu et al. die Technik in den USB-Stecker eines Ladekabels verfrachtet. Eigenen Angaben zufolge soll das Kabel ganz normal funktionieren und Geräte aufladen. Bereits im März dieses Jahres stellte der Sicherheitsforscher mit dem Pseudonym MD sein BadUSB Cable vor. Sein Prototyp ist ein USB-C-Kabel zum Aufladen eines Macbooks.

Yiu erläutert, dass sein Team derzeit an Modellen mit Schaltern arbeitet, um die Betriebsart von USBHarpoon wechseln zu können – weiter führt er dies nicht aus. Auch eine Übermittlung von Code via Bluetooth sei eventuell vorstellbar.

Das eigentliche Problem von BadUSB wurde nie gelöst: Die Kommunikation zwischen PC und USB-Sticks verläuft noch immer in der Regel ohne implementierte Sicherheitsfunktionen über das SCSI-Protokoll. So kann man die Firmware eines Sticks oder nun auch Ladekabels problemlos manipulieren.

Angriffe via USBHarpoon sind in der Theorie nicht nur auf Windows-PCs möglich, auch Linux und macOS-Computer sind gefährdet. Bleibt zu hoffen, dass Computerhersteller das BadUSB-Problem nun wieder auf dem Radar haben und an effektiven Gegenmaßnahmen arbeiten.

Es gibt zwar bereits sogenannte USB-Kondome, die bei USB-Ladekabeln die Datenübertragungspins deaktivieren, doch ist das zum einen keine alltagstaugliche Lösung und andererseits kann man diese auch manipulieren, wie der Sicherheitsforscher MD zeigt.

(des)