USB-enheter innehåller orättbart säkerhetshål – exempelkod ute i det vilda

USB-enheter innehåller orättbart säkerhetshål – exempelkod ute i det vilda

Hotet från det "orättbara" säkerhetshålet Bad USB ser ut att växa. Nu släpps exempelkod som vem som helst kan använda för att skapa elaka och extremt svårupptäckta USB-stickor.

SuperSpeed_USB_stda.jpg

På hackerkonferensen Black Hat 2014 i augusti presenterade säkerhetsforskaren Karsten Nohl en upptäckt som äventyrar hela USB-standarden. Eftersom det inte finns någon mekanism för att verifiera integriteten i exempelvis ett USB-minnes firmware är det möjligt att programmera om mjukvaran och skapa svårupptäckta "elaka" enheter.

Angripare kan exempelvis låta ett USB-minne injicera skadlig kod on the fly, avlyssna trafik genom att imitera ett nätverkskort eller skicka kommandon från ett falskt tangentbord. Inte nog med det är säkerhetshålet, som kallas för Bad USB, en sårbarhet direkt relaterad till USB-standarden och därmed omöjligt att rätta till utan att ta fram nya protokoll och enheter.

Till följd av de potentiella skadeverkningarna valde säkerhetsforskaren Karsten Nohl att inte offentliggöra någon exempelkod, vilket fick många att spekulera om att ett angrepp skulle kräva stora resurser att genomföra och i praktiken vara reserverat för organisationer likt säkerhetstjänsterna GCHQ och NSA.

If the only people who can do this are those with significant budgets, the manufacturers will never do anything about it, You have to prove to the world that it’s practical, that anyone can do it…That puts pressure on the manufactures to fix the real issue.

Säkerhetsforskarna Adam Caudill och Brandon Wilson menar dock att det krävs mer än så för att få branschen att agera och släpper nu färdig kod på Github, som vem som helst kan använda för att programmera om ett USB-minne med kontrollerkrets från taiwanesiska Phison – en av de största tillverkarna av USB-kretsar.

People look at these things and see them as nothing more than storage devices. They don’t realize there’s a reprogrammable computer in their hands.

Koden kan användas för att skapa elaka USB-minnen och genomföra fullfjädrade attacker, exempelvis genom att imitera inmatningar och att i tysthet ta bort lösenordsskydd från delar av minnet. Eftersom den skadliga koden lagras i firmware är en preparerad sticka svår att upptäcka och kan inte heller återställas genom att nollställa minnet.

Källa: Wired.

Kommentarer till artikeln

76 debattinlägg

Skicka en rättelse
35

Testpilot: Komplett Winter Gamer

Med solid prestanda och kylig belysning tar Komplett sikte på 10 000-kronorsklassen. Testpiloten Simon Alling ger sig på frågan för samma belopp – är datorn värd sitt pris? Läs mer

18

Middle-Earth: Shadow of War till spelkonsol och PC/Windows i sensommar

Kort efter att amerikanska Target röjt Middle-Earth: Shadow of War bekräftas speltiteln med en officiell trailer, som ackompanjeras av lanseringsdatum och plattformsstöd. Läs mer

30

Samsung Galaxy S8 får lanseringsdatum

Efter att ha brutit tradition avtäcks Samsung Galaxy S8 en månad senare än dess föregångare. Nästa Unpacked-evenemang äger rum den 29 mars. Läs mer

39

LG avtäcker G6 – flaggskeppstelefon med bildförhållandet 18:9

Efter månader av rykten avtäcker LG det nya flaggskeppet G6, som utöver en ovanligt avlång skärm blir den första telefonen med stöd för HDR-standarden Dolby Vision. Läs mer

14

Playstation VR har sålts i 915 000 exemplar

Försäljningen av Sonys VR-headset Playstation VR har överträffat företagets förväntade siffror, vilket lett till att efterfrågan varit långt högre än tillgången. Läs mer

15

Middle-Earth: Shadow of Mordor får uppföljare under 2017

Den amerikanska återförsäljaren Target röjer av misstag uppföljaren till 2014 års Middle-Earth: Shadow of Mordor, vilken får namnet Shadow of War och släpps senare under året. Läs mer

107

Nokia 3310 återuppstår – får ny design och en månads batteritid

Tidigare uppgifter om en återlansering av Nokia 3310 besannas under Mobile World Congress. Utöver uppdaterad design tillkommer färgskärm och en ny version av mobilspelet Snake. Läs mer

98

AMD:s styrkrets B350 för Ryzen saknar stöd för Nvidia SLI

Den 2 mars anländer AMD Ryzen tillsammans med sockel AM4 och styrkretsarna X370 och B350, där stödet för flera samtida grafikkort i Crossfire och Nvidia SLI skiljer. Läs mer

62

Joyride bygger retrotung 286:a i galleriet

Det vankas minnen från sent 80-tal i galleriet. Med siktet inställt på att återuppleva barndomen bygger Joyride en riktigt härlig retromaskin Läs mer

68

Mass Effect: Andromeda får systemkrav

Det börjar dra ihop sig för nya äventyr i universumet runt Mass Effect. Nu presenteras systemkraven för PC-versionen av kommande titeln Andromeda. Läs mer

27

ITU presenterar utkast till 5G

International Telecommunication Union presenterar ett utkast för 5G-standarden som väntas bli godkänt i november. Bland annat anges att 5G-celler ska ha latenstid på ynka 1 millisekund. Läs mer

30

Samsung tillkännager Exynos 9 – åttakärnig systemkrets på 10 nanometer

Nästa flaggskeppstelefon från Samsung ska avtäckas inom kort, men redan nu tillkännages den systemkrets som sannolikt kommer användas. Läs mer