> Protokoll <----------
Qualititätssicherung erfolgreich abgeschlossen
Juice Jacking beschreibt einen Cyberangriff über die Stromzufuhr eines Smartphones, Tabletcomputers oder eines sonstigen mobilen Geräts. Über dessen USB-Port, der sowohl der Datenübertragung als auch dem Aufladen des mobilen Geräts dient, kann Malware von diesem Gerät auf den Zielrechner übertragen werden.
Gefahrenbeschreibung
BearbeitenWährend der Hackerveranstaltung DEF CON wurden von dem Unternehmen Wall of Sheep[1] „kostenlose Aufladestationen“ aufgebaut. Bei Nutzung dieser Aufladestationen wurde eine Nachricht angezeigt mit dem Inhalt „... should not trust public charging stations with their devices“.[2] Das Ziel war es, die Öffentlichkeit auf die Gefahr hinzuweisen, wie man durch ein solches unbedachtes Aufladen Opfer eines Angriffes werden kann. Zusätzlich wurde eine Präsentation gegeben, um Genaueres über diese Art des Angriffes zu erläutern.[3]
Der Sicherheitsforscher Kyle Osborn veröffentlichte im Jahre 2012 ein Framework, mit der Bezeichnung „P2P-ADB“, um das Gerät des Angreifers mit dem Gerät des Opfers zu verbinden. Durch diese Verbindung ist es dem Angreifer möglich, das Gerät des Opfers zu entriegeln, Zugriff auf Daten zu erlangen und weitere Operationen vorzunehmen.[4]
Diplomanden und Studenten für Sicherheitsforschung des Georgia Institute of Technology lieferten einen Beweis für eine schädliche Anwendungssoftware namens „Mactans“ zur Verfügung, das den USB-Port eines Apple-Gerätes nutzt. Es wurde eine günstige Hardwarekomponente konstruiert, um ein iPhone während des Aufladens zu infizieren. Diese Software kann alle Sicherheitsvorkehrungen umgehen, welche im iOS enthalten sind, und versteckte sich als Apple-Hintergrundprozess.[5]
Sicherheitsforscher Karsten Nohl und Jakob Lell von srlabs[6] veröffentlichten ihre Arbeit über BadUSB auf der Black Hat USA 2014 Sicherheitssitzung[7] und demonstrierten einen Angriff über ein mit dem Computer verbundenes Smartphone oder Tablet, um zu zeigten, wie verwundbar über USB-Port verbundene Systeme sind. Sie lieferten auch einen Beispielcode zur Firmware, welcher Androidsysteme infizieren kann.[8]
Geschichte und Bekanntheit
BearbeitenBrian Krebs wies als Erster auf diese Methode des Angriffs hin und nannte sie „juice-jacking“. Nachdem er von den Aufladestationen von Wall of Sheep gehört hatte, schrieb er den ersten Artikel auf seiner Website zur Computer-Sicherheit.[9] Brian Markus, Joseph Mlodzianowksi und Robert Rowley, alle Mitarbeiter von Wall of Sheep, hatten diese Aufladestationen als Werkzeug zur Warnung vor potenziellen Gefahren entworfen.
Im September 2012 demonstrierte Hak5 einen Angriff mithilfe des Framworks P2P-ADB von Kyle Osborn.
Ende 2012 wurde ein Dokument von der NSA veröffentlicht, um die Mitarbeiter über die Gefahren zu informieren, die beim Aufladen ihrer Smartphones, Tablets oder Notebooks an öffentlich zugänglichen Ladestationen lauern können.[10]
The Android Hackers Handbook, veröffentlicht im März 2014, diskutiert im wesentlichen Juice Jacking sowie das ADB-P2P Framework.[11]
Im April 2015 war Juice Jacking die Haupthematik in der Episode von CSI: Cyber. Season 1: Episode 9, "L0M1S"[12].
Gegenmaßnahmen
BearbeitenBei Apple iOS wurden mehrere Sicherheitsmaßnahmen vorgenommen, um die Angriffsmöglichkeiten über USB-Ports zu verringern, wie beispielsweise automatische Einbindung als Datenträger beim Verbinden des Smartphones an einen Computer.[13] Android-Geräte fragen nun nach einer Bestätigung, bevor sich das Gerät mit dem Computer als Datenträger verbindet. Seit Android Version 4.2.2 existiert eine Whitelist-Funktion, um Angreifern einen Zugriff auf die ADB-Funktion von Android unmöglich zu machen.[14]
Juice Jacking ist nicht möglich, wenn ein Gerät über den mitgelieferten AC Adapter angeschlossen wird. Ebenso ist Juice Jacking nicht möglich bei Entfernung der nötigen Kabel im USB-Port, die zur Datenübertragung benötigt werden. Auch die Anwendersoftware „USB Condom“, umbenannt in „SyncStop“, kann dem Nutzer Sicherheit geben.[15].
Literatur
Bearbeiten- Android Hacking Handbook, ISBN 978-1-118-60864-7.
- Marc Goodman: Global Hack: Hacker, die Banken ausspähen. Cyber-Terroristen, die Atomkraftwerke kapern. Geheimdienste, die unsere Handys knacken, ISBN 978-3446444638
- Marc Goodman: Future Crimes: Everything Is Connected, Everyone Is Vulnerable and What We Can Do About It, ISBN 978-0385539005
Weblinks
BearbeitenEinzelnachweise
Bearbeiten- [[Kategorie:Sicherheitslücke
- ↑ Wall of Sheep - About us (engl.)
- ↑ Website von The Wall of Sheep, Beschreibung des Aufbaus. Aufgerufen am 08. Januar 2016
- ↑ Präsentation von Rowley, Robert, Juice Jacking 101. Aufgerufen am 08. Januar 2016
- ↑ von Kyle Osborn, P2P-ADB. Aufgerufen am 08. Januar 2016
- ↑ PDF, BlackHat Briefings 2013 Mactans. Aufgerufen am 08. Januar 2016
- ↑ Security Research Labs GmbH, Berlin
- ↑ BadUSB - On Accessories That Turn Evil, BadUSB Presentation. Aufgerufen am 8. Januar 2016
- ↑ von Android BadUSB Firmware, Android BadUSB. Aufgerufen am 8. Januar 2016.
- ↑ Erster Artikel über Juice Jacking, von Brian Krebs. Aufgerufen am 08. Januar 2016
- ↑ How American Spies Use iPhones and iPads, von Fast Company. Aufgerufen am 9. Januar 2016
- ↑ Android Hackers Handbook, von Wiley. Aufgerufen am 9. Januar 2016
- ↑ CSI:Cyber L0M1S, von Vulture Screencap Recap. Aufgerufen am 9. Januar 2016
- ↑ PDF, BlackHat Briefings 2013 Mactans. Aufgerufen am 8. Januar 2016
- ↑ ADB Whitelist, Android Police. Aufgerufen am 08. Januar 2016
- ↑ SyncStop, Website von SyncStop; aufgerufen am 9. Januar 2016.