Een beveiligingslek in USB-chips dat deze zomer werd onthuld blijkt in de helft van alle USB-apparaten aanwezig te zijn. Welke apparaten dat precies zijn kunnen de onderzoekers echter niet precies zeggen. Dat lieten onderzoekers Karsten Nohl, Sascha Krissler en Jakob Lell tijdens de Pacsec beveiligingsconferentie in Tokio weten. In augustus demonstreerden de drie de "BadUSB-aanval", waarbij de firmware van een USB-stick zo was aangepast dat systemen ermee kunnen worden aangevallen.
Op deze manier is het bijvoorbeeld mogelijk om computers waarop een gemanipuleerd USB-apparaat wordt aangesloten met malware te infecteren. Om de impact van het probleem te meten besloten de onderzoekers alle USB-controllerchips te analyseren die door de acht grootste fabrikanten worden geproduceerd. Ongeveer de helft van de chips was immuun voor de aanval. Het grote probleem is echter dat de onderzoekers geen lijst met veilige producten kunnen geven en dat het voor de doorsnee consument zo goed als onmogelijk is om te achterhalen.
Uit het onderzoek kwam naar voren dat alle USB-opslagcontrollers van het Taiwanese bedrijf Phison kwetsbaar zijn. De chips van ASmedia zijn dat niet. In het geval van het Taiwanese bedrijf Genesys bleek dat de chips die USB 2.0 ondersteunen niet kwetsbaar zijn, terwijl de chips die USB 3.0 ondersteunen wel risico lopen. Bij de fabrikanten die immuun zijn gaat het niet om een opzettelijke maatregel, maar eerder toeval vanwege het zelfgemaakte ontwerp waardoor ze niet geherprogrammeerd konden worden, zo meldt Wired.
Een bijkomend probleem is dat fabrikanten van computerapparatuur vaak niet op de verpakking aangeven welke USB-chips ze gebruiken. Sommige fabrikanten gebruiken daarnaast chips van verschillende leveranciers. Als het aan Nohl ligt gaan fabrikanten wel degelijk op hun verpakking melden welke USB-chips ze gebruiken. "Bij een laptop zou je hier niet mee wegkomen. Mensen zouden gek worden als ze een computer kopen en de chip die ze verwachten zit er niet in", zo liet de onderzoeker tijdens de presentatie weten.
Nohl reageerde ook op critici van zijn onderzoek, die stelden dat het oorspronkelijke BadUSB-onderzoek te beperkt was en zich alleen op fabrikant Phison richtte. "Sommige mensen hebben geaccepteerd dat USB onveilig is. Anderen herinneren BadUSB alleen als een Phison-bug. Die tweede groep moet wakker worden en hetzelfde bewustzijn als de eerste groep krijgen."
Deze posting is gelocked. Reageren is niet meer mogelijk.