Im Juli haben die beiden Forscher Karsten Nohl und Jakob Lell eine Sicherheitslücke gefunden, die mehr als kritisch ist und sie auf den Namen BadUSB getauft. Entgegen ihrer ursprünglichen Vorgehensweise, den Exploit nicht zu veröffentlichen, haben sie den Code jetzt auf Github publiziert. Laut den Experten ist die Lücke derartig groß, dass sie erst in einigen Jahren endgültig geschlossen sein wird.
Auch interessant: Android-App Namens “Andrubis” zeigt gefährliche Apps auf
Beinahe alle Geräte, die an unseren PCs angesteckt werden, kommunizieren über den Universal Serial Bus oder kurz USB. Der Standard hat sich aufgrund der günstigen Herstellung, hohen Übertragungsgeschwindigkeiten und vielseitigen Einsatzbereichen durchgesetzt. Dennoch gibt es eine sehr schwerwiegende Sicherheitslücke, die unbedingt gestopft gehört. Da es sich dabei um ein technisches Problem bei der Architektur des Buses handelt, ist das Ganze natürlich nicht so einfach zu bewerkstelligen. Dazu müsste nämlich die Architektur zuerst entsprechend angepasst und anschließend alle USB-Ports dieser Welt durch neue ersetzt werden. Theoretisch möglich, praktisch ist das ein Unterfangen das mehrere Jahre dauern würde, weshalb wir jetzt auch für diesen Zeitraum verwundbar sein werden.
Doch klären wir zuerst einmal die Beschaffenheit der Sicherheitslücke. Über den Exploit kann ein herkömmlicher USB-Stick so wie wir ihn womöglich täglich an den Rechner anschließen dahingehend manipuliert werden, dass er zum Beispiel Daten von dem angesteckten PC abgreift. Möglich ist das durch den verbauten „NAND-Chip“ den jedes Speicherlaufwerk bzw. sogar jedes USB-Gerät integriert hat. Angreifen können diesen Chip überschreiben und somit dem Stick beispielsweise Befehle erteilen. So kann er sich als Tastatur ausgeben und Befehle auf dem betroffenen PC ausführen oder sogar Schadsoftware installieren, ohne das der Nutzer etwas davon mitbekommt.
Laut den Sicherheitsexperten reicht ein herkömmliches Firmware-Update nicht aus um die Sicherheitslücke zu stopfen, weshalb die Hersteller von USB-Speichergeräten jetzt gefragt sind, sich hier etwas zu überlegen.
Natürlich ist das Ganze auch für uns als Android-User wichtig, da auch wir das Smartphone via USB am PC aufladen oder gar einen USB-Stick zur Speichererweiterung am Gerät anstecken. Als Beweggrund für die Veröffentlichung des Exploits haben die beiden Forscher angegeben, dass sie die Hersteller von USB-Geräten zur Handlung zwingen möchten, da ohne wirkliche Bedrohung kaum etwas passiert wäre. Schlussendlich trifft es aber wieder uns Konsumenten, denn durch die Veröffentlichung kann jetzt jeder auf den Code zugreifen und daraus eine Schadsoftware basteln.
Quelle: Wired