USB-Kondom verhindert Datenaustausch beim Ladevorgang am PC

In der Anfangszeit der Handcomputertechnik wurden Handhelds durch externe Netzteile geladen. Heute ist so gut wie jedes Telefon in der Lage, sich selbst per USB mit Energie zu versorgen.

Dadurch entstand eine neue, als Juice Jacking bezeichnete Angriffsmethode. Dabei stellt ein Angreifer ein Gerät auf, das kostenlose Energie verspricht. Während des Aufladeprozesses erfolgt eine Analyse des angeschlossenen Smartphones – je nach aktiviertem Dienst wird danach ein anderes Exploit-Paket ausgelassen.

Die von KrebsOnSecurity losgelassene Charging Station stand auf einem Sicherheitskongress – trotzdem gab es Horden von Opfern…

Es ist auf den ersten Blick kaum vorstellbar, wie viele verschiedene Angriffsvektoren in den Betriebssystemen implementiert sind. Manche Telefone exponieren im ausgeschalteten Zustand automatisch den internen Speicher – bei aktiviertem Entwicklermodus hat der Angreifer sowieso leichtes Spiel.

Die Sicherheitsfirma int3.cc möchte dieses Problem durch ein als USB Condom bezeichnetes Produkt umgehen. Dabei handelt es sich um eine kleine Platine, die zwischen den USB-Ladeport und das Ladekabel des mit Energie zu versorgenden Geräts gesteckt wird. Da die Datenverbindungen nicht durchkontaktiert sind, kann das Telefon keinen Kontakt zur “Basisstation” aufnehmen.

Im Zusammenspiel mit einem “dumb charger” dürfte die Planare keine Probleme verursachen – die Geräte bestehen aus einem Spannungswandler, der meist um den Faktor zwei bis drei überdimensioniert ist. Beim Anschluss an ein teures Notebook wäre der Autor weitaus vorsichtiger. Insbesondere Subnotebooks können via USB nur sehr wenig Energie liefern – bei zu starkem Verbrauch brennt eine nur schwer ersetzbare Sicherung am Motherboard durch.

Der USB-Standard sieht aus diesem Grund eine Art “Verbrauchs-Signalisierung” vor, die aber über die Datenleitungen erfolgt. Sind diese gekappt, so tritt ein “undefiniertes” Verhalten auf: manche Geräte laden extrem langsam, andere saugen, was geht.

Deshalb werden viele User unerfreut reagieren, wenn ein “zum Aufladen eingeladener” User sein Telefon mit dieser Platine schützt – wer Energie geschenkt bekommt, hat im Allgemeinen kein Recht, den Port zu braten.

Leider ist das Produkt derzeit ausverkauft. Falls ihr ein derartiges Teil braucht, so solltet ihr die Webseite des Herstellers besuchen – sie findet sich unter der folgenden URL:

http://int3.cc/products/usbcondoms

Unsere Frage an euch ist, ob ihr euer Telefon schon einmal an ein euch “unbekanntes” Gerät angeschlossen habt. Oder habt ihr immer einen Zweitakku in der Jackentasche?