Annonse


Alle USB-dingser har et gigantisk sikkerhetsproblem

Sikkerhetsekspertene Karsten Nohl og Jakob Lell fra SR Labs har hacket USB-fastvaren og funnet ut at den mest brukte av alle tilkoblings-grensesnitt har en gigantisk sikkerhetsutfordring.

Farlig hull
Det er i et intervju med Wired de to avslører det som potensielt gigantiske sikkerhetsproblemet.

Ikke bare fordi det ikke kan oppdages av brukeren, men fordi feilen også er umulig å reparere.

Nohl og Lell har programmert USB-skadebare «BadUSB» for å bevise påstandene.

Annonse


En sovende trojaner
«BadUSB» kan installeres på en USB-lagringsenhet for deretter å ta full kontroll over en PC, endre filene på minne-enheten uten at brukeren er klar over det, og til og med omdirigere offerets nett-trafikk.

Feilen kan  utnyttes på alle enheter som bruker USB, inkludert smartmobiler, tastaturer og mus.

– Kan ikke programvare-tettes
Greia er at
«BadUSB» ikke er lagret i minnet, men i fastkoden som kontrollerer de mest grunnleggende funksjonene i en USB-enhet.

På den måten slettes ikke skadevaren uansett hvor mange ganger man formaterer minnet.

– Disse problemene kan ikke lappes fordi vi utnytter måten USB er designet på, hevder de to.

Skjer i det stille
Farlige filer fra onsinnede hackere kan sendes fra USB til PC; og fra PC til USB helt i det stille.

«Produktene har ingen restriksjoner kjent som kode-signering, en forsvarsmekanisme som sørger for at enhver ny kode som legges til enheten har en kryptografisk signatur som ikke kan tukles med.

Det finnes ikke engang sikker USB-fastkode å sammenligne koden med», skriver Wired, og påpeker at dette kan bli et reelt problem, og ikke bare en teoretisk trussel: Fordi…

Går begge veier
…«Hver gang en USB-minneenhet er koblet til en datamaskin, kan fastvaren på den omprogrammeres av eventuell skadevare installert på samme maskin uten at brukeren på en enkel måte kan avsløre dette.

Dessuten kan en USB-enhet i stillhet infisere eierens PC.»

– Det går begge veier, og ingen kan stole på noen, forklarer de.

 

Kilde:
Wired

Annonse