Foto: Thinkstock
De zogeheten Badusb-hack werd in juli door onderzoeker Karsten Nohl gepresenteerd, maar hij hield de code om het lek te misbruiken geheim. De kwetsbaarheid zorgt ervoor dat een usb-apparaat zich kan gedragen als welk apparaat dan ook.
Een usb-stick kan zich voordoen als toetsenbord waardoor de aanvaller opdrachten aan de computer kan doorgeven door te ‘typen’. Dan wordt het bijvoorbeeld mogelijk bestanden te benaderen of de computer te beschadigen of wissen.
Het is ook mogelijk via de usb-poort smartphones te infecteren en zo af luisteren of een harde schijf die via usb gekoppeld is nog voor de pc is opgestart al een virus te laten installeren zodat de computer er niet voor kan waarschuwen.
Lek dichten
Twee andere onderzoekers hebben het lek nu ook gereproduceerd en hebben de code wel gepubliceerd. Zij hopen dat bedrijven het lek nu eindelijk gaan verhelpen, vertellen ze aan Wired.
Nohl gaf aan dat hij het lek als onoplosbaar ziet. Ook al zou er nu een oplossing zijn, duurt het volgens Nohl nog zeker tien jaar voor alle kwetsbare usb-apparaten uit de roulatie zijn.
Volgens onderzoekers Adam Caudill en Brandon Wilson beschikken overheidsorganisaties zoals de NSA al over het lek en maken ze er misbruik van. “Als alleen mensen met een significant budget toegang hebben tot het lek, zullen de fabrikanten er nooit iets aan doen”, aldus Caudill.
“Mensen zien een usb-stick als een opslagapparaat, maar beseffen niet dat het een programmeerbare computer is.”
Firmware
Het lek bevindt zich in de firmware op de usb-stick zelf. Het besturingssysteem wordt als het ware aangepast. Er wordt dus geen geïnfecteerd bestand op de usb-stick gezet die detecteerbaar en verwijderbaar is.
Daardoor zou kwaadaardige software niet opgemerkt worden en zelfs de hele usb-stick legen en opnieuw installeren verwijdert de malafide firmware niet.
Caudill en Wilson hebben overigens niet alle soorten misbruik openbaar gemaakt. Zo werken de onderzoekers aan een hack die het mogelijk moet maken vanaf een usb-stick een pc te infecteren en vervolgens via de usb-poort elk nieuw usb-apparaat ook van kwaadaardige software te voorzien.
Er is inmiddels een nieuwe usb-standaard afgerond die waarschijnlijk vanaf volgend jaar verwerkt wordt in pc’s en andere apparaten. Of de kwetsbaarheid ook in die standaard zit, is niet bekend.