Dipl.-Inform. Carsten Eilers

Mobilgeräte sind klein, also ist wenig Platz für Anschlüsse vorhanden. Daher werden oft mehrere (drahtgebundene) Interfaces mit einem einzigen Anschluss verbunden. Mitunter sind diese Interfaces nur für Entwicklungs- und Testzwecke vorgesehen, beim Ausliefern des Geräts aber noch aktiv. Das kann zu einem Problem werden, wie Michael Ossmann und Kyle Osborn auf der Sicherheitskonferenz "Black Hat USA 2013" gezeigt haben: "Multiplexed Wired Attack Surfaces".

Zwei klassische Beispiele für die Zweckentfremdung eines Anschlusses sind

• Power over Ethernet (PoE), bei dem über das eigentlich nur für die Datenübertragung vorgesehene Ethernetkabel zusätzlich zu den Daten auch der Strom für die Versorgung des angeschlossenen Geräts übertragen wird, und
• DSL (Digital Subscriber Line), bei der über die eigentlich nur für die Sprachkommunikation vorgesehene Telefonleitung auch eine Datenverbindung realisiert wird.

Ein neueres Beispiel ist Apples iPod Shuffle, bei dem der spezielle Kopfhöreranschluss auch als USB-Anschluss genutzt wird. Aber kommen wir zum eigentlichen Thema, dem USB-Anschluss und Angriffen darüber.

Michael Ossmann und Kyle Osborn haben herausgefunden, dass in vielen Smartphones und Tablets ein Multiplexer-IC FSA9280A von Fairchild Semiconductor zwischen USB-Anschluss und USB-Controller sitzt. Normalerweise wird darüber nur eine einzelne USB-Verbindung hergestellt. Falls zwischen bestimmten Pins des USB-Anschlusses aber ein bestimmter Widerstand gemessen wird, wird davon ausgegangen, dass ein bestimmtes Gerät angeschlossen ist, woraufhin eine andere Konfiguration verwendet wird. Und jetzt kommt es zur Schwachstelle: Je nach Kombination der Widerstände können auch Konfigurationen aktiviert werden, die eigentlich nicht für die Allgemeinheit zugänglich sein sollten. Zum Beispiel konnte beim Galaxy Nexus eine serielle Schnittstelle aktiviert werden, über die je nach Firmware ein Debugger aktiviert werden kann oder auch ein Shell-Zugang möglich ist.

Prinzipiell ist so eine Schwachstelle zwar gefährlich, um sie auszunutzen, muss der Angreifer sich aber erst mal das Gerät verschaffen. Und dann hat er noch einige andere Möglichkeiten als den Zugriff über einen mehrfach belegten Anschluss.

Ebenso wie der USB-Anschluss wird bei manchen Geräten auch der Kopfhörer-Anschluss mehrfach genutzt. auch dort ist mitunter ein serieller Anschluss integriert.

Michael Ossmann und Kyle Osborn haben eine Hardware-Plattform entwickelt, mit der mehrfach genutzten Anschlüsse untersucht werden können: Daisho.

In den Draht geguckt: Daisho

Daisho wurde von Dominic Spill, Michael Kershaw und Michael Ossmann in einem weiteren Vortrag auf der "Black Hat USA 2013" vorgestellt: "What's on the Wire? Physical Layer Tapping with Project Daisho". Daisho wird als "Man-in-the-Middle-Device" zwischen zwei USB-Geräte oder Hosts geschaltet. Unterstützt werden neben USB auf physikalischer Ebene auch 1000Base-T-Ethernet, HDMI und RS-232. Aber das sei hier nur der Vollständigkeit halber erwähnt. Interessanter im Hinblick auf USB ist ein anderer Vortrag von der Black Hat USA 2013:

Embedded Systems über USB-Fingerprinting erkennen

Andy Davis hat beschrieben, wie Embedded Systems durch das Fingerprinting des USB-Stacks erkannt werden können: "Revealing Embedded Fingerprints- Deriving intelligence from USB stack interactions". Anhand des individuellen Verhaltens der verschiedenen Implementierungen des USB-Stacks kann das zugehörige Betriebssystem des Embedded Devices erkannt werden. Beim Erkennen von USB-Geräten können zum Beispiel die Vergabe der Adressen, die Geschwindigkeit der Kommunikation, der Stromverbrauch, die Konfigurationsoptionen, die Device-Beschreibungen und die Treiber für verschiedene Geräteklassen als Erkennungsmerkmal dienen. Auch die Reaktion auf ungültige Daten oder die Reihenfolge der Kommunikation beim Verbindungsaufbau liefern Hinweise auf den USB-Stack und damit das Betriebssystem.

Zum Testen der Hardware der USB-Anschlüsse ist spezielle Hardware notwendig. Die kann teuer gekauft, aber auch selbst hergestellt werden. Für letzteres dient der Facedancer.

Erkannt werden durch das Fingerprinting folgende Systeme:

• Windows 8
• Ubuntu Linux 12.04 LTS
• Apple OS X Lion
• FreeBSD 5.3
• Chrome OS
• das Linux-basierte TV STB

Während der Analyse der USB-Stacks wurde auch eine Pufferüberlauf-Schwachstelle in Windows 8 entdeckt.

Kommen wir zum Abschluss noch einmal zu Angriffen auf USB-Geräte, konkret USB 3G/4G-Modems:

Liebesgrüße aus China

Nikita Tarakanov und Oleg Kupreev haben auf der "Black Hat Europe 2013" Angriffe auf/über USB 3G/4G-Modems von Huawei vorgestellt: "Huawei - From China with Love. Die Modem enthalten in Form eines CD-Images Treiber, Konfigurationsdateien und mehr oder weniger viele zusätzliche Anwendungen. Gelingt es, zum Beispiel als Update Schadsoftware auf das Moden einzuschleusen oder die Konfigurationsdateien zu manipulieren, wird darüber später der das Moden nutzende Rechner infiziert. Da die Updates nicht geschützt sind, ist so ein Angriff zum Beispiel durch einen Man-in-the-Middle zwischen USB-Modem und Update-Server möglich.

Mit Schadsoftware verseuchte USB-Geräte gab es ja schon des öfteren, das besondere in diesem Fall wäre die nachträgliche Manipulation der USB-Modems. Bisher war die Schadsoftware immer während der Produktions- oder Konfigurationsprozesse auf die Geräte gelangt.

Das Thema der nächsten Folge steht noch nicht endgültig fest.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Gefährliche Peripherie: Firewire

Gefährliche Peripherie: USB

Gefährliche Peripherie: USB - Stick weg, Daten weg

Gefährliche Peripherie: USB - Weitere Angriffe und Gegenmaßnahmen

Gefährliche Peripherie: Drucker und Co.

Gefährliche Peripherie: Thunderbolt

Gefährliche Peripherie: USB - Bösartige Ladegeräte

Gefährliche Peripherie: USB - Zweckentfremdete Anschlüsse und mehr

BadUSB - Ein Angriff, der dringend ernst genommen werden sollte