Fail: Elsevier verteilt aktiven USB-Dongle mit Webumleitung

Die Marketing-Aktion der niederländischen Elsevier-Gruppe dürfte nach hinten losgehen. Du bekommst auf einer Konferenz einen vermeintlichen USB-Stick, der dich beim Einstecken plötzlich auf die Elsevier-Webseite umleiten will – BadUSB lässt grüßen (auch wenn das jetzt harmlos war).


Anzeige

Dass man USB-Geräte aus unbekannten Quellen möglichst meidet, hatte ich im Artikel Black Hat 2014: USB-Geräte als Sicherheitsrisiko thematisiert. Und es gab im letzten Herbst den Artikel Unpatchbarer Exploit für BadUSB bekannt geworden zu diesem Sicherheitsthema. Ein Design-Fehler im USB-Protokoll ermöglicht USB-Geräten, die vermeintlich Speichersticks sind, sich aber nachträglich als aktive Komponente wie Maus oder Tastatur zu registrieren. Dann kann die Komponente aktiv in das jeweilige Betriebssystem eingreifen.

Elsevier hat nun auf einer Tagung einen USB-Stick (der einen Tastaturemulator enthielt) ausgegeben, der genau das macht. Als die ahnungslosen Teilnehmer den vermeintlichen USB-Stick an den Rechner einstöpselten, unterbrach dieser die aktuelle Sitzung des Nutzern, übernahm den Fokus und schickte Tastatur-Eingaben, um die Elsevier-Webseite anzuzeigen. Sofern kein Internetzugang bestand, bekam der Benutzer dann eine Fehlerseite zu sehen. Simon Waldmann hat das in seinem Blog im Artikel Elsevier, that just freaked me out. detaillierter beschrieben.

Jemand vom Elsevier-Management kontaktierte Simon Waldmann darauf hin, um Details zu erfragen. Das führte zur Klarstellung, dass der Elsevier-USB-Stick keine BadUSB-Implementierung sondern einen Tastaturemulator darstellt. Aber die Stellungnahme von Tom Reller, Vizepräsident für Global Corporate Relations offenbar die lockere Gesinnung in manchen Marketing-Teams.

Hi Simon, I looked into this, and indeed there was nothing nefarious intended here. It’s not something we do across our journal marketing teams, was just something one of them decided to pilot. They liked the idea of providing digital sample copies over print samples, which has some advantages. Any user can simply remove the device, but we can see how some people view this as invasive and we won’t likely use them further.

Klaro, da versucht Microsoft alles mögliche, um die AutoRun-Funkton für USB-Speichermedien unter Windows aus Sicherheitsgründen zu blockieren. Aber mit dem USB-Ansatz kannst Du das locker umgehen. Und prompt kommt so ein Marketing-Simpel auf die Idee, einen Piloten zu verteilen, der genau das mal ausprobiert. Idee war, den Lesern digitale Leseproben automatisiert anzuzeigen. Jetzt dürfte man darüber nachdenken, diese Leseproben oder Beispiele auf USB-Stick zu verteilen. Dümmer geht’s (n)immer. Obwohl: Zur Konditionierung der Anwender, niemals so ein Goodie anzunehmen und zu verwenden, war das wohl lehrreich – und ob die Leute jetzt noch USB-Sticks von denen annehmen? Oder was meint ihr?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit BadUSB, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.