Apples Tastaturfirmware kann zum Keylogger werden

K. Chen ist eigenen Angaben zufolge gelungen, Apple-Tastaturen so weit umzukonfigurieren, dass sie sich als Keylogger missbrauchen lassen können. Der Mac bietet dabei zahlreiche Vorteile für derartige Angriffsszenarien. Einer der wichtigsten Vorteile ist die Monokultur, die beim Mac vorherrscht. Damit meint Chen wohl den Umstand, dass es nur wenige Modelle gibt, die zudem alle eine ähnliche Ausstattung haben.

Dass Apple selbst Tastaturen mit Firmwareupdates versorgt, wird für den Hersteller ein Problem. So könnten böse Zeitgenossen die Firmware anpassen und etwa die Keyboards entweder mit einer Schadfirmware ausliefern oder nachträglich etwa in einem Büro Tastaturen manipulieren.

Angriffen sind allerdings enge Grenzen gesetzt. Der integrierte 8-Bit-Microcontroller der Tastatur hat gerade mal 256 Byte RAM und 8 KByte Flashspeicher. Von dem Flashspeicher stehen laut Chen einem Firmwareprogramm rund 1 KByte zur Verfügung. Genug Platz, um zumindest Teile der Tastatureingaben aufzuzeichnen und so etwa ein wichtiges Passwort abzugreifen und anschließend weiterzuversenden.

Derartige Exploits können vom Anwender zudem nicht ohne weiteres beseitigt werden, sofern er davon überhaupt etwas mitbekommt. Eine Neuinstallation des Betriebssystems hilft nicht. Nur das Aufspielen der offiziellen Apple-Firmware beseitigt das Problem bis zum nächsten Angriff auf die Tastatur.

Die Empfehlung von Chen: Apple-Tastaturen sollten nicht in Rechenzentren eingesetzt werden. Gerade in Shared-Hosting-Umgebungen bietet ein Apple-Keyboard eine möglichen Angriffspunkt. Betroffen sind allerdings auch Macbooks und Macbook Pros, deren Keyboard-Firmware sich ebenfalls - unabhängig von der EFI - flashen lässt. Außerdem lässt sich ein Apple-Keyboard mit den Hacks auch dauerhaft außer Betrieb nehmen. Entsprechenden Code will Chen allerdings nicht veröffentlichen und hofft darauf, dass Apple rechtzeitig seine Tastaturen patcht. Chen hat auf der Blackhat der Presse allerdings das Angebot gemacht, dies zu demonstrieren. Allerdings laut Präsentation nur auf einer "Bring-your-own-Keyboard"-Basis. Ob tatsächlich Keyboards von Chen außer Dienst gestellt wurden, lässt die Präsentation offen.

Chen kann sich nur schwer vorstellen, warum Apple bei einem simplen Design wie einem Keyboard überhaupt einen derartigen Mechanismus braucht. Er glaubt, dass es noch viele weitere Geräte gibt, deren Firmware-Update-Mechanismen sich für Angriffe eignen.

Die komplette Präsentation (PDF) gibt es auf der Webseite der Blackhat-Konferenz genauso wie eine detaillierte Erklärung des Angriffsszenarios.