USB-enheter innehåller orättbart säkerhetshål – exempelkod ute i det vilda

USB-enheter innehåller orättbart säkerhetshål – exempelkod ute i det vilda

Hotet från det "orättbara" säkerhetshålet Bad USB ser ut att växa. Nu släpps exempelkod som vem som helst kan använda för att skapa elaka och extremt svårupptäckta USB-stickor.

SuperSpeed_USB_stda.jpg

På hackerkonferensen Black Hat 2014 i augusti presenterade säkerhetsforskaren Karsten Nohl en upptäckt som äventyrar hela USB-standarden. Eftersom det inte finns någon mekanism för att verifiera integriteten i exempelvis ett USB-minnes firmware är det möjligt att programmera om mjukvaran och skapa svårupptäckta "elaka" enheter.

Angripare kan exempelvis låta ett USB-minne injicera skadlig kod on the fly, avlyssna trafik genom att imitera ett nätverkskort eller skicka kommandon från ett falskt tangentbord. Inte nog med det är säkerhetshålet, som kallas för Bad USB, en sårbarhet direkt relaterad till USB-standarden och därmed omöjligt att rätta till utan att ta fram nya protokoll och enheter.

Till följd av de potentiella skadeverkningarna valde säkerhetsforskaren Karsten Nohl att inte offentliggöra någon exempelkod, vilket fick många att spekulera om att ett angrepp skulle kräva stora resurser att genomföra och i praktiken vara reserverat för organisationer likt säkerhetstjänsterna GCHQ och NSA.

If the only people who can do this are those with significant budgets, the manufacturers will never do anything about it, You have to prove to the world that it’s practical, that anyone can do it…That puts pressure on the manufactures to fix the real issue.

Säkerhetsforskarna Adam Caudill och Brandon Wilson menar dock att det krävs mer än så för att få branschen att agera och släpper nu färdig kod på Github, som vem som helst kan använda för att programmera om ett USB-minne med kontrollerkrets från taiwanesiska Phison – en av de största tillverkarna av USB-kretsar.

People look at these things and see them as nothing more than storage devices. They don’t realize there’s a reprogrammable computer in their hands.

Koden kan användas för att skapa elaka USB-minnen och genomföra fullfjädrade attacker, exempelvis genom att imitera inmatningar och att i tysthet ta bort lösenordsskydd från delar av minnet. Eftersom den skadliga koden lagras i firmware är en preparerad sticka svår att upptäcka och kan inte heller återställas genom att nollställa minnet.

Källa: Wired.

Kommentarer till artikeln

76 debattinlägg

Skicka en rättelse
18

AMD visar positivt rörelseresultat för årets andra kvartal

Efter en svag inledning på 2017 står det nu klart att AMD har gjort ett starkare andra kvartal. Företaget förutspår dessutom ännu bättre tider framöver. Läs mer

73

Test: AMD Ryzen 3 1300X och 3 1200

Kort innan AMD släpper lös Threadripper kompletteras Ryzen-familjen med två instegsmodeller i färska Ryzen 3-serien. Häng med till testlabbet där nykomlingarna får bekänna färg. Läs mer

6

Wolfenstein II: The New Colossus provkörs hos FZ

Wolfenstein: The New Order får en uppföljare, som lovar samma täta action och vältrimmade kontroller. FZ levererar första intryck. Läs mer

33

AMD släpper Radeon Crimson Relive 17.7.2

AMD fortsätter att slipa på drivrutinen Crimson Relive. I den senaste uppdateringen rullar företaget ut både förbättringar och nya funktioner. Läs mer

38

Nintendo har sålt 4,7 miljoner Switch-enheter sedan lanseringen

Nintendo presenterar sin andra kvartalsrapport för 2017, där det framgår att företaget sålt 4,7 miljoner enheter av Nintendo Switch sedan dess lansering i mars. Läs mer

42

EagleTree Capital förvärvar majoritet av Corsair

EagleTree Capital rapporterades tidigare i veckan ha inlett förhandlingar med Corsair om andelsköp. Nu har affären gått igenom för drygt fyra miljarder kronor. Läs mer

31

AMD talar om övergången till 7 nanometer

Övergången till 7 nanometer går inte fort och AMD:s teknikchef Mark Papermaster talar nu ut i en intervju om de många hinder som har uppstått i övergången. Läs mer

90

AMD Radeon RX Vega ryktas få prislapp i linje med Geforce GTX 1080 Ti

Det börjar dra ihop sig till AMD Vega, och nu cirkulerar de första prisuppgifterna bakom kulisserna. Toppmodellen ryktas landa i samma liga som påkostade varianter av Geforce GTX 1080 Ti. Läs mer

23

USB 3.2 är det senaste tillskottet i USB Type-C

Mängden specifikationer för överföring via USB Type-C bara växer, och senaste tillskottet utlovar fördubblad bandbredd jämfört med föregångaren. Läs mer

70

AMD Radeon RX Vega poserar i bilder och prestandatester

Om några dagar är det dags för spelorienterade Radeon RX Vega att äntra rampljuset. Nu har läckta bilder och prestandaresultat letat sig ut på nätet. Läs mer

45

Adobe dödförklarar Flash efter 2020

Efter många års tjänst tillkännager Adobe att insticksmodulen och mediaformatet Flash kommer nå vägs ände och pensioneras år 2020 till förmån för öppna standarder. Läs mer

29

AMD Ryzen Threadripper lanseras 10 augusti

Nya uppgifter bekräftar lanseringsdatum för AMD Ryzen Threadripper. Den 10 augusti når flaggskeppet butik. Läs mer