Opladning via USB type C giver større angrebsflade for virus

Både Apple og Google har netop offentliggjort nye pc’ere, der gør brug af den nye USB type C-standard til både opladning og dataoverførsel, men det åbner for, at virus fremover kan spredes via noget så uskyldigt som en lånt oplader.

Selvom USB type C-stikket kun lige har fået sit gennembrud som den nære fremtids fællesnævner for dataoverførsel og opladning, vækker pc-verdenens nye dille allerede bekymring hos sikkerhedseksperter, skriver The Verge.

Bekymringerne går overordnet på, at det kombinerede data- og strømkabel åbner for en ny indgang for ondsindet software, der fremover vil kunne indlejres i opladerens firmware og sprede sig til en computer, hver gang opladeren tilsluttes.

Den største bekymring i denne sammenhæng er sikkerhedshullet ‘BadUSB’, der blev kendt sidste efterår, og som ikke er blevet lukket i forbindelse med den nye standard, da den i vanlig standard-ånd er gjort bagudkompatibel.

Læs også: Malware lækket, der udnytter uopretteligt hul i usb-enheder

BadUSB er en svaghed i netop firmwaren, hvor controller-chipsene ved USB-enheder kan omkodes og dermed have malware indlejret, som kan kopiere sig selv over på computeren længe inden brugeren eller operativsystemet vil kunne nå at reagere.

»Den ekstra åbenhed og fleksibilitet ved USB type C kommer desværre også med en større angrebsflade,« siger Karsten Nohl, der var blandt de sikkerhedseksperter, der først opdagede svagheden.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Milos Game

Det er set før, at der er fusket med USB stik, bl.a. med malware og falske kapacitetsregistreringer, så det skulle ikke undre mig hvis det samme skete med USB-Type C opladere.
Problemet er derfor ikke kun begrænset til "lånte" opladere, hviket betyder at det er lige meget hvor forsigtig du er, så kan du alligevel blive ramt.

Vi siger tak til USB-gruppen for at tilbyde os noget så nice og på samme tid udsætte os for noget der er så farligt. :-)

Knud Jensen

Black Hat havde sidste og forrige år flere praktiske eksempler på hvordan man laver sådan en ondsindet dims.

Heldigvis efterfulgte der så også nogle produkter til at afværge det med, såsom en PortaPow som blokerer data.

Simon Rigét

Heldigvis efterfulgte der så også nogle produkter til at afværge det med, såsom en PortaPow som blokerer data.

Jo da... - men som jeg forstår USB-C standartten, så behøver man datalinjerne til at forhandle om spændingen. Da en oplader til en PC sikkert skal bruge mere end standard 2,5W kan man ikke undvære datalinjerne.
Så der er nok brug for USB chip der kan låses, så de ikke længere kan omprogrammeres og bedre OS er.
(Hvor mange har mon i virkeligheden brug den funktion at man kan opdaterer firmware i sin USB port)

Jakob Damkjær

http://tidbits.com/article/15505

On the 12-inch MacBook the USB port uses Intel’s xHCI (eXtensible Host Controller Interface), which can’t be placed into a DFU (device firmware upgrade) mode to overwrite the MacBook’s firmware.

Så BadUSB sårbarheden kan ikke bruges på googles pixel 2 eller Apples 12" Macbook...

Måske er der andre sårbarheder men ikke BadUSB...

Log ind eller Opret konto for at kommentere