Lek in USB openbaar gemaakt

Een veiligheidslek dat ervoor zorgt dat aanvallers een simpele USB-stick in een toetsenbord kunnen veranderen, dat dan gebruikt kan worden om kwaadaardige orders uit te voeren in de computer van het slachtoffer.. Dat is de hel van BadUSB.

Onderzoek
BadUSB werd in juli dit jaar al door onderzoeker Karsten Nohl gepresenteerd, maar de code werd geheim gehouden, voor het geval iemand er misbruik van wilde maken. Helaas zijn niet alle onderzoekers uit het team zo voorzichtig als Nohl, twee anderen (Adam Caudill en Brandon Wilson) vonden het nodig om de code wel te openbaren en op dit moment is de code dus beschikbaar voor iedereen, inclusief hackers met kwade bedoelingen.

Goed en slecht nieuws
Het goede nieuws is dat de kwetsbaarheid alleen voorkomt in USB van fabrikant Phison, uit Taiwan. Het slechte nieuws dat Phison USB sticks ieder ander apparaat kunnen infecteren waar ze worden ingestoken. Het is niet duidelijk of het ‘virus’ kan worden overgedragen op USB-apparaten die na de besmette USB-stick in het apparaat worden gestoken. Nog meer slecht nieuws: Phison maakt niet openbaar voor wie zij USB-apparaten produceren waardoor het dus niet duidelijk is hoe groot het probleem daadwerkelijk is.

Geen oplossing
Het grootste probleem van BadUSB, is dat er op dit moment nog geen oplossing is voor wanneer er een apparaat besmet is geraakt. Hoe het werkt? De firmware in USB-apparaten wordt aangepast, er wordt niks op de USB-stick gezet, de code wordt alleen veranderd. Je kunt het virus dus niet zomaar van je USB-stick verwijderen, want het is geen extra bestand en is daardoor niet detecteerbaar. Daar is er geen virusscanner die het virus kan ontdekken, omdat het om een extern apparaat gaat. Het kan dus niet ontdekt worden en op deze manier kan het probleem dus lang door sluimeren. 

Caudill en Wilson hebben trouwens nog niet alles gepubliceerd. Ze zijn op dit moment bezig met iets dat nog veel gevaarlijker is. De code zou ook de bestanden op de USB-stick infecteren en wanneer deze naar een desktop worden overgezet, wordt ook dit apparaat besmet. De onderzoekers zitten naar eigen zeggen op dit moment met een ethisch dilemma of ze dit wel of niet moeten openbaren.