Computersicherheit: Smartphone übernimmt PC mittels USB-Kabel

Auf der Sicherheitskonferenz Black Hat haben Forscher auf ein recht offensichtliches Problem des Universal Serial Bus in drastischer Form hingewiesen. Nach dem Anschluss eines Smartphones an einen PC mit einem vermeintlich harmlosen USB-Kabel wurde der Rechner ferngesteuert.

20. Januar 2011 um 12:22 Uhr / Nico Ernst

69 Kommentare News folgen (öffnet im neuen Fenster)

Wie Angelos Stavrou und Zhaohui Wang in ihrem Vortrag(öffnet im neuen Fenster) gezeigt haben, ist die Sorglosigkeit vieler Anwender im Umgang mit USB-Verbindungen unangebracht. Kurz nach Anschluss eines Nexus One an ein Notebook wurde der PC vom Smartphone ferngesteuert – Tastatureingaben inklusive. Damit lässt sich ein Computer unabhängig von anderen Sicherheitseinstellungen übernehmen und ausspähen, indem etwa abgefangene Daten gleich per Handy weitergeleitet werden.

Dass das funktioniert, liegt an der bei USB prinzipbedingt nicht notwendigen Autorisierung von Verbindungen: Wird etwa eine Tastatur angesteckt, fragt ein Betriebssystem wie Windows oder Mac OS nicht nach, ob dieses Gerät tatsächlich Zugriff auf den Rechner haben soll. Durch winzige USB-Microcontroller, wie auf dem Teensy-Board(öffnet im neuen Fenster) , lässt sich die dafür nötige Elektronik auch in einem Gerät verstecken, das wie ein passives USB-Kabel aussieht.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Softwareentwickler Backend (m/w/d) boTec GmbH, Wiesbaden (öffnet im neuen Fenster)

Softwareentwickler:in Centershop Korn Vertriebs Gmbh & Co. Kg, Frechen (öffnet im neuen Fenster)

Strategischer Einkäufer IT (m/w/d) RheinEnergie AG, Köln (öffnet im neuen Fenster)

BI Platform (Junior-) Engineer (SAP BW/4HANA) (m/w/d) Schwarz IT, Heilbronn (öffnet im neuen Fenster)

Projektmanager*in/Controller*in (m/w/d) Humboldt-Universität zu Berlin, Berlin (öffnet im neuen Fenster)

Junior IT Consultant internationale Digitalisierungsprojekte - Schwerpunkt Marketing KI / AI (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)

Consultant ITSCM / IT-Notfallmanagement (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)

Fachinformatiker*in (m/w/d) in der Fachrichtung Systemintegration Ostangler Brandgilde VVaG, Bad Fallingbostel (öffnet im neuen Fenster)

Gerade bei Smartphones ist das aber nicht einmal nötig: Ein infiziertes Telefon kann über einen manipulierten USB-Stack das Gerät auch allein per Software als Fernsteuerung für einen PC verwendbar machen. Angelos Stavrou sagte Cnet(öffnet im neuen Fenster) , ein solches Smartphone könne leicht auch andere Computer infizieren, wenn es mit diesen verbunden wird.

Die Sicherheitsforscher schlagen vor, dass PC-Betriebssysteme nach dem Anschluss eines USB-Geräts immer zunächst nachfragen sollten, ob dieses tatsächlich mit dem Computer verbunden werden soll. Zudem sollten die Betriebssysteme auch überwachen, welche Daten über USB-Verbindungen laufen und den Anwender gegebenenfalls darauf hinweisen, wenn etwa ein Smartphone Tastatureingaben an den PC schickt.

Zur Startseite 69 Kommentare

Reklame Hier geht es zum Handbuch für Softwareentwickler bei Amazon

USB-Sicherheitslösung setzt noch vor dem Bootvorgang an

Aladdin und Control Break International. Aladdin Knowledge Systems und Control Break International (CBI) haben eine strategische Partnerschaft vereinbart. Durch die Kombination der Sicherheitslösung SafeBoot von CBI mit dem Authentisierungskey eToken von Aladdin soll eine Pre-Boot-Sicherheitslösung auf USB-Token-Basis für PCs und Laptops entwickelt werden.

Relevante Themen