Los Angeles warnt vor öffentlichen USB-Ladestationen

[English]Eine kurze Information für Benutzer von Mobilgeräten. Die Stadt Los Angeles warnt die Amerikaner vor der Verwendung öffentlicher USB-Ladestationen. Die könnten Malware auf die Gerät übertragen.


Anzeige

Öffentliche USB-Ladestationen als Risiko

Es ist auch ein Trend in Deutschland: Um den mobilen Digitalnomaden den Gebrauch ihrer Smartphones oder Tablet PCs zu ermöglichen, bieten immer mehr Firmen öffentliche USB-Ladestationen an (z.B. in der Bahn, in Linienbussen, in Sparkassen, an Flughäfen etc.).

Wenn einem der Saft ausgeht, stöpselt man sein mitgebrachtes Ladekabel an den USB-Anschluss und hat nach einigen Minuten das Akku wieder teilgeladen – oder betreibt es während der Fahrt im 'Flixbus', im Zug, im Flugzeug etc. Das ist zwar praktisch, aber gefährlich. Es geht nicht nur darum, dass zu hohe Spannungen am USB-Ladeport das Gerät beschädigen können.

Es ist in Sicherheitskreisen zwar ein alter Hut, kann aber nicht oft genug wiederholt werden. Cyber-Kriminelle könnten die USB-Ladestationen manipulieren. Dann wird das zum Laden angeschlossene Gerät mit Schadsoftware infiziert. Bereits 2013 wurde auf der BlackHat unter dem Namen Mactans gezeigt, wie Geräte mittels einer manipulierten USB-Ladestation infiziert werden können. Hier im Blog hatte ich erste Meldungen in anderem Kontext im Jahr 2014 (siehe Black Hat 2014: USB-Geräte als Sicherheitsrisiko). Sicherheitsforschern war es gelungen, die Firmware von USB-Controllern so zu manipulieren, dass diese sich als Maus oder Tastatur oder etwas anderes ausgeben und so auf das Betriebssystem zugreifen. Dies ließe sich z.B. einsetzen, um per USB-Stick Malware auf einen Rechner einzuschleusen. Der USB-Stick kann sich als virtuelle Tastatur ausgeben und die Malware im Betriebssystem über simulierte Tastaturausgaben installieren lassen. Auch das Abrufen von Daten (als eine Art Trojaner) ist mit diesem Ansatz möglich.

Im Jahr 2016 stellte Sicherheitsforscher Samy Kamkar hat das Konzept des KeySweeper vor. Es handelt sich um ein Arduino-basiertes Gerät, das als funktionierende USB-Ladestation getarnt ist. Es kann drahtlos und passiv alle Tastenanschläge von jeder Microsoft-Funktastatur in der Nähe erschnüffeln, entschlüsseln, protokollieren und (über GSM) übertragen. In Folge hat das FBI sogar eine USA-weite Warnung an Organisationen ausgegeben, keine USB-Ladestationen für Geräte zu verwenden. Artikel des Deutschlandfunks sowie von ntv aus 2016 befassen sich ebenfalls mit dem Thema.

2018 hatte ich dann im Blog-Beitrag USBHarpoon – Angriff durch USB-Ladekabel berichtet, dass Sicherheitsforscher sogar ein USB-Ladekabel so modifizieren konnten, dass dieses zum Laden angeschlossene Geräte angreift.

Modernere Android-Geräte schalten den USB-Port automatisch in einen Zustand zum Laden. Dann sollte die Gefahr auch reduziert sein, verlassen würde ich mich aber nicht darauf.

Los Angeles warnt vor USB-Ladestationen

Das Thema poppt auch in Deutschland seit 2016 immer wieder hoch – in 2019 gab es z.B. diesen Bericht und diesen Artikel zum Thema. Nun gibt es eine US-Warnung, auf die ich kürzlich auf Twitter aufmerksam wurde. Der Los Angeles County Bezirksstaatsanwalt (Los Angeles County District Attorney) warnt vor USB-Ladestationen als Sicherheitsrisiko. Hier der entsprechende Tweet.

Es wird dort davon abgeraten, öffentlichen USB-Ladestationen an Flughäfen oder Einkaufszentren zu verwenden, da sie mit Malware infiziert sein könnten. Offenbar gehen Cyber-Kriminelle dazu über, solche Ladestationen gezielt zu manipulieren.


Anzeige

Obiges Video thematisiert das Ganze. Die Malware könnte das Telefon oder das elektronische Gerät sperren oder private Informationen wie Passwörter, Adressen oder sogar ein vollständiges Backup des Telefons an Gauner senden. Der stellvertretende Staatsanwalt Luke Sisak sagt dazu:

Die Schadsoftware lädt sich selbst auf das Telefon und kann entweder das Telefon in Echtzeit überwachen, manchmal Informationen aus dem Telefon herunterladen, manchmal das Telefon komplett klonen und Sie müssen es nicht einmal benutzen.

Kreditkarten, Passwörter für Bankkonten, Ihre Privatadresse – all das, was Nutzer jemals ins Internet gestellt haben, könnte möglicherweise im [Browser-]Verlauf auf dem Handy gespeichert sein.

Diese Art von Angriff erhielt den Namen "juice jacking". US-Medien wie ZDNet oder abc7 haben das Thema dann in separaten Artikeln aufgegriffen.

Einfache Gegenmaßnahmen sind möglich

Der profundeste Ratschlag besteht darin, einen eigenen 220 Volt-Ladeadapter auf Reisen mitzunehmen. Dieser kann dann mit einem USB-Kabel an eine normale Steckdose mit passender Spannung angeschlossen werden und ermöglicht ein Gerät ohne die oben skizzierten Gefahren aufzuladen.

Nicht immer werden aber 220 Volt-Steckdosen unterwegs verfügbar sein. Eine aufgeladene PowerBank wäre eine Option, um ein Smartphone weiter betreiben oder laden zu können.

Die Alternative wären Schutzsysteme für das USB-Ladekabel zu verwenden. Ursprünglich unter der Bezeichnung USB-Condom vorgestellt, gibt es so etwas unter Namen wie SycStop als PortaPow Daten Block USB Adapter (Amazon-Affilate-Link) oder Xlayer Adapter, USB Data Sync Blocker (Amazon-Affilate-Link), THEMIS Security USB Daten Blocker Smart Charger (Amazon-Affilate-Link) oder als spezielle Ladekabel, die keine Datenübertragung zulassen, eine Infektion also verhindern können. Diese Adapter schützen auch Notebooks, wenn ein infiziertes Mobilgerät zum Laden angeschlossen wird.

Ähnliche Artikel:
Black Hat 2014: USB-Geräte als Sicherheitsrisiko
USBHarpoon – Angriff durch USB-Ladekabel
Kaspersky: NSA "Equation Group" versteckt Spionagesoftware in HD-Firmware
Datendiebstahl per USB-Stick in Unternehmen verhindern
Unpatchbarer Exploit für BadUSB bekannt geworden
Rittal Werbegeschenk: USB-Stick, der als HID-Tastatur agiert
Fail: Elsevier verteilt aktiven USB-Dongle mit Webumleitung
Die Firewall für USB-Ports …


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Los Angeles warnt vor öffentlichen USB-Ladestationen

  1. NegativBernd sagt:

    >Die Alternative wären Schutzsysteme für das USB-Ladekabel zu verwenden.

    Gibt auch USB-Ladekabel ohne Datenadern, alles andere ist Geldmacherei. Bei meinen Chinaimporten waren (zum Ärgernis) zwei solche dabei. Man wollte wohl Kupfer sparen.

    • Micha sagt:

      Finde es interessant das es "USB-Ladekabel ohne Datenadern" gibt. Das könnte eine Lösung sein um meinen alten PND vom Problem zu befreien das er an USB KFZ Ladegeräten im Auto häufig einen PC erkennt und in den Datenübertragungsmodus wechselt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.