USB-C als Sicherheitsrisiko?
Noch nicht auf dem Markt und schon kommen die ersten Bedenken zum neuen USB Typ-C Standard auf. Geräte sollen sich durch den neuen Stecker einfacher mit einem Virus infizieren lassen, teilweise schon bevor der Benutzer die Chance hat, die USB-C Steckverbindung zu überprüfen. Da USB Typ-C für die Stromversorgung des Gerätes genutzt werden kann (oder muss), kann ein infiziertes USB-C Kabel den Computer direkt beim Ladevorgang befallen.
USB-C wurde erst von Apple im neuen MacBook angekündigt und wenige Tage darauf von Google im neuen Chromebook Pixel. Gerade beim neuen MacBook war der Aufschrei der Benutzer groß, da das Grät nur eine einzige Steckverbindung besitzt – USB Typ-C. Auch das Chromebook Pixel wird über USB-C geladen, bringt jedoch noch zwei USB 3.0 Anschlüsse mit.
Das von Sicherheitsexperten angemahnte Risiko besteht darin, dass ein manipuliertes Ladekabel dazu verwendet werden kann, die USB Firmware zu infizieren und anschließend den Rechner zu befallen. Dabei entsteht ein „borrowed charger”-Effekt. Das heißt, ist die USB-C Firmware erst ein mal infiziert, werden alle nicht infizierten Ladekabel ebenfalls infiziert. So kann ein ausgeliehenes Ladekabel von einem Bekannten zum Befall des eigenen Rechners führen.
Dabei ist das Risiko nicht unbekannt. Unter BadUSB wird dieses Szenario für USB-Sticks schon heute beschrieben, bei dem manipulierte USB-Sticks Computer infizieren, die dann wiederum nicht befallene USB-Sticks ebenfalls mit der manipulierten Firmware infizieren. Eine Lösung für das Problem gibt es bisher noch nicht. Auch wenn zwischenzeitlich einige USB-Sticks einen eingebauten Schutz gegen die Manipulation der Firmware besitzen, sind diese jedoch eher die Ausnahme auf dem Markt.
Persönliche Meinung
Solange das Problem besteht ist es ratsam, das Ladekabel nicht zu teilen und keine fremde Ladekabel zu verwenden. Ist man dann sicher? Wohl weniger, da das Problem der infizierten USB-Sticks weiterhin besteht. Da aber die Verbreitung von USB-C anfänglich schleichend passieren wird, kann von einem geringen initialen Risiko für Early-Adopter ausgegangen werden.
Quelle: Caschys Blog, Heise.de
Geek, Blogger, Consultant & Reisender. Auf seiner Detail-Seite findest du weitere Informationen über Benjamin. In seiner Freizeit schreibt Benjamin bevorzugt über Technik-Themen. Neben Anleitungen und How-To’s interessieren Benjamin auch Nachrichten zur IT-Sicherheit. Sollte die Technik nicht im Vordergrund stehen, geht Benjamin gerne wandern.