Tijdens de Black Hat conferentie in Las Vegas hebben beveiligingsonderzoekers Karsten Nohl en Jakob Lell aangetoond hoe ze met een geprepareerde USB-stick computers volledig kunnen overnemen. De aankondiging van de demonstratie genereerde al voor de conferentie de nodige aandacht.
De twee onderzoekers waarschuwden namelijk dat op onbetrouwbare computers aangesloten USB-apparaten niet meer zijn te vertrouwen. Om de "BadUSB" te maken, zoals de onderzoekers hun aanval noemden, reverse engineerden en wijzigden ze de firmware van de microcontroller waar USB-sticks over beschikken. Iets waar de onderzoekers met zijn tweeën minder dan twee maanden voor nodig hadden.
Tijdens de eerste demonstratie lieten Nohl en Lell zien hoe hun geprepareerde USB-stick een Windowscomputer infecteerde. Via deze aanval was het ook mogelijk om andere USB-sticks die op de computer werden aangesloten te herprogrammeren, zodat die weer andere computers konden overnemen. Bij de tweede demonstratie werd getoond hoe een op een Windowscomputer besmet geraakte USB-stick een Linux-pc overnam.
De onderzoekers merkten op dat Linux-malware met verminderde rechten draait en sudo-rechten nodig heeft om andere USB-sticks die worden aangesloten te infecteren. Hiervoor bedachten de onderzoekers een truc waarbij het sudo-wachtwoord van de gebruiker via een screensaver wordt gestolen. De ingestelde screensaver wordt namelijk herstart met een keylogger. Zodra de gebruiker zijn wachtwoord invult om de screensaver te ontgrendelen, kan de keylogger dit wachtwoord onderscheppen en zo sudo-rechten krijgen.
Voor hun onderzoek keken Nohl en Lell voornamelijk naar USB-sticks. Ze laten echter weten dat ook externe harde schijven, webcams, keyboards en mogelijk nog veel meer USB-apparaten gebruikt kunnen worden. Het advies dat de onderzoekers in aanloop naar hun presentatie gaven blijft dan ook ongewijzigd. "Zolang USB-controllers te herprogrammeren zijn moeten USB-apparaten niet met anderen worden gedeeld."
De onderzoekers hebben besloten de aangepaste USB-firmware niet vrij te geven, maar hebben wel deze proof-of-concept voor Android-apparaten online gezet waarmee gebruikers hun beveiliging kunnen testen. "Het is misschien nu niet het einde van de wereld, maar we zullen er rekening mee moet houden, elke dag een beetje, voor de komende 10 jaar", aldus Nohl tegenover journalisten, zo meldt de BBC.
Deze posting is gelocked. Reageren is niet meer mogelijk.