Von USB-Geräten kann echte Gefahr ausgehen. (Quelle: Thinkstock by Getty-Images)
USB-Sticks und andere USB-Geräte sind ein viel größeres Sicherheitsrisiko als bisher angenommen. Berliner Forscher haben eine neue Angriffsmethode entwickelt, wie sie mit manipulierten USB-Geräten fremde PCs steuern können. Das Gefährliche daran: Weder Antivirenprogramme, noch die Nutzer bekommen von den Angriffen etwas mit. Das Ausspähen von Nutzerkonten, Passwörtern und Bankdaten könnte dadurch sehr einfach werden.

USB-Geräte sind so allgegenwärtig, dass sich die wenigsten Nutzer Gedanken über Sicherheitsrisiken machen. USB-Sticks durchlaufen den gelegentlichen Virenscan, aber ansonsten werden USB-Geräte wie Festplatten, Kameras oder Smartphones ständig an PC und Notebook angeschlossen. So sorglos sollten wir Nutzer ab sofort aber nicht mehr sein.

Die Berliner Sicherheitsforscher von Security Research Labs (SRLabs) um den IT-Experten Karsten Nohl haben eine neue Angriffsmethode entwickelt, die sie am 7. August auf der Sicherheitskonferenz BlackHat in Las Vegas vorstellen wollen. Vorab haben sie die Methode auf ihrer Website beschrieben und Zeit Online und dem WDR gezeigt, wie sie funktioniert. Die Sendung Monitor zeigt das Vorgehen am 31. Juli 2014 um 21.45 Uhr in der ARD.

Schwachstelle in USB-Geräten
Für ihre Methode nutzen die Forscher eine Schwachstelle im USB-System aus. In jedem USB-Gerät steckt ein Controller-Chip, der – vereinfacht ausgedrückt – zwischen dem USB-Gerät und dem PC vermittelt. Dieser Chip arbeitet mit einer Firmware, die ihm sagt, was für ein Gerät er steuert – das kann ein USB-Stick sein, ein Smartphone, eine Tastatur, eine Webcam und vieles mehr.

Bei der Angriffsmethode wird nun diese Firmware manipuliert. Das ist recht einfach möglich, da die meisten Controller gegen solche Manipulationen nicht geschützt sind, sagen die Experten. Sie werden für viele verschiedene Geräte genutzt und müssen deshalb leicht umprogrammiert werden können.

USB-Stick gibt sich als Tastatur aus
Ein manipuliertes USB-Gerät gibt sich dann einfach als etwas anderes aus, als es ist. Beispielsweise täuscht ein am PC angeschlossener USB-Stick vor, er sei eine Tastatur. Durch Tastatureingaben im Hintergrund führt er dann Befehle aus und installiert einen Trojaner. Oder er protokolliert alle Tastatureingaben des Nutzers und kommt so an wichtige Passwörter.

Weitere Beispiele gibt es viele: Ein angeschlossenes Smartphone kann sich als Netzwerkkarte ausgeben und so allen Internetverkehr des PC abfangen oder ihn auf gefälschte Webseiten lenken. Eine präparierte externe Festplatte kann einen Virus laden, mit dem das Betriebssystem noch während des Startens infiziert wird.

Unbemerkte Gefahr
Der Nutzer merkt von all dem nichts. Der USB-Stick kann vollkommen leer sein, es gibt keine verseuchte Datei, die ein Antivirenprogramm entdecken könne. Er mag für wenige Sekundenbruchteile ein kleines Fenster sehen, was sich jedoch sofort wieder schließt. Aber da die Angriffe so programmiert sein können, dass sie erst längere Zeit nach dem Einstecken eines Geräts beginnen, ist dem Nutzer der Zusammenhang nicht klar.

Die Methode ist auch deshalb so gefährlich wie erfolgversprechend, weil sie auf Windows-, Linux- und Apple-Rechnern gleichermaßen funktioniert. Darüber hinaus kann die Schadsoftware so programmiert werden, dass sie sich vom ersten USB-Gerät auf den PC kopiert und von dort auf alle anderen angeschlossenen USB-Geräte.

Problem für die nächsten Jahre
Eine Lösung des Problems ist derzeit nicht in Sicht. Der gesamte USB-Standard müsste geändert und um Schutzvorkehrungen erweitert werden, sagte Nohl der Zeit. Das werde aber zehn Jahre dauern, da die Standards von vielen Beteiligten entwickelt und beschlossen werden müssen.

Auch einen Schutz gibt es nicht wirklich – Antiviren-Programme haben keinen Zugriff auf die Firmware von USB-Geräten. Nutzer können lediglich auf USB-Sticks verzichten und stattdessen SD-Karten verwenden, sagt Nohl. Diese können sich nicht als etwas anderes ausgeben. Bei anderen USB-Geräten gibt es bislang keine Alternativen.
Quelle