USB-enheter innehåller orättbart säkerhetshål – exempelkod ute i det vilda

USB-enheter innehåller orättbart säkerhetshål – exempelkod ute i det vilda

Hotet från det "orättbara" säkerhetshålet Bad USB ser ut att växa. Nu släpps exempelkod som vem som helst kan använda för att skapa elaka och extremt svårupptäckta USB-stickor.

SuperSpeed_USB_stda.jpg

På hackerkonferensen Black Hat 2014 i augusti presenterade säkerhetsforskaren Karsten Nohl en upptäckt som äventyrar hela USB-standarden. Eftersom det inte finns någon mekanism för att verifiera integriteten i exempelvis ett USB-minnes firmware är det möjligt att programmera om mjukvaran och skapa svårupptäckta "elaka" enheter.

Angripare kan exempelvis låta ett USB-minne injicera skadlig kod on the fly, avlyssna trafik genom att imitera ett nätverkskort eller skicka kommandon från ett falskt tangentbord. Inte nog med det är säkerhetshålet, som kallas för Bad USB, en sårbarhet direkt relaterad till USB-standarden och därmed omöjligt att rätta till utan att ta fram nya protokoll och enheter.

Till följd av de potentiella skadeverkningarna valde säkerhetsforskaren Karsten Nohl att inte offentliggöra någon exempelkod, vilket fick många att spekulera om att ett angrepp skulle kräva stora resurser att genomföra och i praktiken vara reserverat för organisationer likt säkerhetstjänsterna GCHQ och NSA.

If the only people who can do this are those with significant budgets, the manufacturers will never do anything about it, You have to prove to the world that it’s practical, that anyone can do it…That puts pressure on the manufactures to fix the real issue.

Säkerhetsforskarna Adam Caudill och Brandon Wilson menar dock att det krävs mer än så för att få branschen att agera och släpper nu färdig kod på Github, som vem som helst kan använda för att programmera om ett USB-minne med kontrollerkrets från taiwanesiska Phison – en av de största tillverkarna av USB-kretsar.

People look at these things and see them as nothing more than storage devices. They don’t realize there’s a reprogrammable computer in their hands.

Koden kan användas för att skapa elaka USB-minnen och genomföra fullfjädrade attacker, exempelvis genom att imitera inmatningar och att i tysthet ta bort lösenordsskydd från delar av minnet. Eftersom den skadliga koden lagras i firmware är en preparerad sticka svår att upptäcka och kan inte heller återställas genom att nollställa minnet.

Källa: Wired.

Kommentarer till artikeln

76 debattinlägg

Skicka en rättelse
39

Test: Ray tracing i Battlefield V med Nvidia RTX-serien

Strålspårning, strålföljning, ray tracing eller hur du nu vill kalla det. Redaktionen laddar testriggarna med fler grafikkort och testar nya tekniken i Battlefield V. Läs mer

0

FZ testar Battlefield V – actionskjutare som inte tar ut svängarna

FZ testar Battlefield V och imponeras av flera aspekter som fokuset på lagspel och det storslagna spelläget Grand Operations. Däremot faller kampanjen och nytänket kort. Läs mer

45

Quiz: Doge, Nyan Cat och andra memes

Temat för veckans quiz på SweClockers är något utöver det vanliga, då siktet ställs in på memes av olika slag. Läs mer

23

SK Hynix avtäcker första primärminnet enligt DDR5-standarden

Nästa år väntas standarden för DDR5 spikas av JEDEC, och nu meddelar SK Hynix att de ta tagit fram de första kretsarna som lever upp till denna. Läs mer

6

Insomniac Games släpper Sunset Overdrive till PC/Windows

Fyra år efter lanseringen till Xbox One släpps nu Sunset Overdrive till PC/Windows. I titeln vankas det actionäventyr med horder av fiender och ett intensivt stridssystem. Läs mer

16

Nvidia presenterar kvartalsrapport – datacenter växer med 58 procent

Nvidia presenterar sin kvartalsrapport för årets tredje kvartal, vilken visar på både ökade intäkter och förbättrade marginaler. Framförallt datacenter ser en stor tillväxt på 58 procent. Läs mer

119

Nvidia bekräftar tillverkningsproblem för Geforce RTX 2080 Ti

Varken drivrutiner eller GDDR6-minnet ska ha legat bakom stabilitetsproblemen för Geforce RTX 2080 Ti. Nvidia meddelar istället att felet låg hos bristfälliga kretskort. Läs mer

108

Inför Black Friday – SweClockers guide till TV-utbudet 2018

Greppa skillnaden mellan OLED och LCD och hur tillverkarna betecknar sina modeller. SweClockers kartlägger marknadens TV-modeller inför reasäsongen 2018. Läs mer

6

Finalister vidare till Dreamhack Winter 2018 för Casemod Championship

Sju proffsmoddare av rang går vidare till finalen i Casemod Championship, som äger rum den 2 december under Dreamhack Winter 2018 på Main Stage. Läs mer

94

Test: XFX Radeon RX 590 Fatboy – Polaris på 12 nanometer

AMD laddar om i mellanklassen genom uppdaterade grafikprocessorn Radeon RX 590. På menyn finns bland annat förfinad tillverkning och uppskruvade klockfrekvenser. Läs mer

104

Ubisoft: "Lootlådor är inget dåligt – så länge de görs på rätt sätt"

Lootlådor och mikrotransaktioner har återigen hamnat på tapeten, men enligt Ubisoft kan de vara något positivt om de görs på rätt sätt. Läs mer

24

Kom och häng i SweClockers och AOC Gamings monter på Dreamhack Winter 2018

Om två veckor är det dags för nästa upplaga av Dreamhack, och SweClockers är självklart på plats med egen monter och en uppsjö av aktiviter. Läs mer