BadUSB

Manipulierter USB-Stick kann Bank-Konto plündern

Manipulierte USB-Sticks mit BadUSB-Malware können Bankkonten leerräumen. Forscher demonstrierten dies auf der Hackermesse Black Hat 2014.

News

Die Malware BadUSB kommt aus Berlin, aus einer Firma mit dem Namen Security Research Labs. Dort haben die beiden Sicherheitsforscher Karsten Nohl und sein Partner Jakob Lell schon Anfang August gezeigt, dass man die Firmware eines USB-Sticks manipulieren kann.

Wir berichteten in unserer Meldung zur BadUSB-Sicherheitslücke. Das Gerät meldet sich dann als etwas am PC an, das es nicht ist: zum Beispiel als Tastatur. Da als solche angemeldet, kann der USB-Stick unbemerkt Eingaben machen. Der User und auch das Antivirenprogramm bekommt davon nichts mit. Jetzt haben die beiden Forscher auf der Hackermesse Black-Hat in Las Vegas erste Details und mögliche Einsatzgebiete von BadUSB demonstriert.

USB-Sticks, die sich als Tastaturen ausgeben, sind dabei noch der harmlose Teil des USB-Hacks. Nohl und Lell zeigten ein manipuliertes Android-Telefon, mit einer darauf installierten Überwachungssoftware. Wird das Gerät per USB-Kabel mit dem PC verbunden, egal um es zu laden oder zum Datenaustausch, späht die Software den gesamten Rechner aus. Auch davon bekommt Anti-Malware-Software nichts mit.

Mit derart manipulierten Telefonen ist es problemlos möglich, die zweifach gesicherten Zugangsberechtigungen beim Online-Banking zu umgehen. Passwörter und Anmeldenamen werden einfach vom Telefon ausgehorcht, mTAN-Nummern werden auf eben dieses infizierte Telefon gesendet. Damit sind beide Komponenten beschafft, die für den Zugriff auf ein Konto nötig sind. Die Hacker können Überweisungen von Ihrem Konto aus durchführen.

Wieder loswerden kann man die Malware auch nicht, da sich diese in den geschützten Bereichen des Speichers einnistet. Ein Formatieren des USB-Gerätes verschafft keine Abhilfe. Die einzige Lösung wäre, den Zugriff auf die Firmware hardwareseitig zu verhindern. Bevor Sie jetzt anfangen, Ihre USB-Geräte wie trojanische Pferde zu behandeln, sei gesagt, dass die Umsetzung dieser Firmware-Manipulation sehr komplex ist.

Nicht alle USB-Controller lassen sich überhaupt umprogrammieren und von den wenigen, die tatsächlich veränderbar sind, bieten noch weniger ein Spektrum an Emulationsmöglichkeiten, das für derartige Manipulationen breit genug gefächert ist. Zusätzlich ist ein Umprogrammieren von Firmware extrem schwierig und nur in seltenen Fällen ohne den Hersteller überhaupt umsetzbar.

Auch wenn die Gefahr noch nicht an die Türe klopft: Vorsicht ist die Mutter der Porzellankiste. Wenn Sie USB-Geräte von fremden Personen vermeiden und nach Möglichkeit ihren Online-Banking-PC nicht mit ihrem mTAN Smartphone verbinden, dann sind sie auf der sicheren Seite. Denn sollten Sie doch an ein manipuliertes USB-Gerät geraten, wird ihnen das Wissen um die Unwahrscheinlichkeit weder Trost spenden noch Ihr Geld wiederbeschaffen.