USB-C-Anschluss des neuen MacBook und Chromebook anfällig für BadUSB

Table Of Contents

• USB-C-Anschluss des neuen MacBook und Chromebook anfällig für Hacking über „ausgeliehenes Ladegerät“, BadUSB
• BadUSB-Fehler
• Was ist BadUSB?
• Typ-C-Anschluss anfällig
• Authentifizierung

USB-C-Anschluss des neuen MacBook und Chromebook anfällig für Hacking über „ausgeliehenes Ladegerät“, BadUSB

Nach jahrelanger Entwicklung wurde USB Typ-C mit dem Apple MacBook und dem Google Chromebook eingeführt. Das neue MacBook wird mit nur einem einzigen Typ-C-Stecker für sowohl Strom als auch Daten geliefert, ebenso verfügt Googles Pixel 2 Chromebook über denselben Typ-C-Anschluss.

Doch mit dem neuen Anschluss kommen auch eigene Sicherheitsprobleme, da der Typ-C-Anschluss anfällig für den BadUSB-Fehler ist. Das Problem wurde zuerst von Verge gemeldet, die sagten, dass USB-C anfällig für Angriffe mit BadUSB-Firmware oder andere Angriffe ist, die den direkten Speicherzugriff des Steckers ausnutzen.

„Auf einem Standardgerät könnten sich Benutzer, die sich um USB-Angriffe sorgen, einfach ihre Anschlüsse abkleben, aber Strom ist der eine Stecker, den man benutzen muss. Wenn dieser Stecker zu einem Angriffsvektor wird, könnte das ernsthafte Sicherheitsfolgen haben.“

Verge sagte, dass Benutzer des neuen MacBook und Chromebook Pixel 2 anfällig für einen „ausgeliehenen Ladegerät“-Angriff wären.

Es wurde gesagt, dass, obwohl die neuen Ladegeräte nicht über die Firmware verfügen, die benötigt wird, um den BadUSB-Virus zu tragen, „es für einen Angreifer einfach wäre, ihn selbst zu installieren und dann einen Tag in einem Café zu verbringen, während er auf ein ahnungsloses Ziel wartet, das sich anschließt.“

„Fast jeder mit einem Laptop hat irgendwann ein Stromkabel geteilt – im Vergleich zu der viel kleineren Anzahl, die einen USB-Stick eines Fremden eingesteckt hat – sodass der Angriff viele ansonsten geschützte Computer erreichen könnte“, hieß es.

BadUSB-Fehler

Der BadUSB-Fehler wurde letztes Jahr von Karsten Nohl entdeckt, der einen Angriff zuerst vor einem überfüllten Publikum auf der Black Hat-Sicherheitskonferenz in Las Vegas demonstrierte. Später wurde er von den Forschern Adam Caudill und Brandon Wilson demonstriert, die den Fehler durch Reverse Engineering von USB-Firmware ausnutzten.

Was ist BadUSB?

Die Malware, die als BadUSB bezeichnet wird, programmiert die eingebettete Firmware um, um USB-Geräten neue, geheime und leistungsstarke Fähigkeiten zu verleihen. In einer Demo auf der Black Hat-Sicherheitskonferenz in Las Vegas wurde ein USB-Laufwerk infiziert und zeigte seine Fähigkeit, als Tastatur zu agieren, die heimlich bösartige Befehle in angeschlossene Computer eingibt.

Ein anderer USB wurde ebenfalls umprogrammiert, um als Netzwerkkarte zu fungieren, die angeschlossene Computer dazu bringt, sich mit bösartigen Seiten zu verbinden, die Google, Facebook oder andere vertrauenswürdige Ziele imitieren. Die Demo zeigte, dass ähnliche Hacks gegen Android-Handys funktionieren könnten, wenn sie an gezielte Computer angeschlossen werden. Die Malware ist so umfangreich, dass sie auf fast allen USB-verbundenen Geräten wie Webcams, Tastaturen, Smartphones usw. funktionieren kann.

Das Duo veröffentlichte den PoC des BadUSB-Fehlers auf Github, damit Forscher und Sicherheitsunternehmen ihn studieren und einen Patch für den Fehler entwickeln können.

Typ-C-Anschluss anfällig

Sobald die Malware ausgenutzt wird, kann sie auf jeden USB-Stick und PC oder umgekehrt verbreitet werden. Wie oben erwähnt, sind die neuen Ladegeräte zwar nicht anfällig für den BadUSB-Fehler, aber ältere sind es, und ein potenzieller Hacker kann sie nutzen, um auf das neue MacBook oder Chromebook zuzugreifen.

„Im Fall von BadUSB bedeutet das, dass es für einen bösen Akteur einfach ist, ein USB-Gerät zusammenzustellen, das den Virus jedes Mal verbreitet, wenn es eingesteckt wird“, sagte The Verge.

The Verge zitierte auch Karsten Nohl, einen der Forscher, die BadUSB zuerst entdeckten, mit den Worten, dass die zusätzliche „Offenheit und Flexibilität von USB Typ-C mit einer größeren Angriffsfläche einhergeht.“ „Keine Lösung für BadUSB ist in Sicht, selbst mit diesem neuen Standard“, sagte Nohl.

Authentifizierung

Eines der Probleme, die Apple hat, ist, dass es den Typ-C-Anschluss-Ladegerät nicht authentifizieren kann, wie es mit seinem Lightning-Anschluss der Fall war, da USB ein offener Standard ist.

Verge sagte, dass ein „böser Akteur einfach als ein USB-Gerät der letzten Generation wie eine drahtlose Tastatur auftreten könnte, um lange genug zu bestehen, um den Virus weiterzugeben.“

Wenn Sie beabsichtigen, das neue Apple MacBook oder Google Chromebook zu kaufen, vermeiden Sie Ladegeräte oder USB-Geräte, die Sie nicht selbst gekauft haben, um Ihre Laptops sicher zu halten.

Sie könnten auch interessiert sein: „Killer USB“, das entwickelt wurde, um Ihre Laptops abzubrennen