Juice Jacking
Juice Jacking beschreibt einen Cyberangriff über die Stromzufuhr eines Smartphones, Tabletcomputers oder eines sonstigen mobilen Geräts. Über dessen USB-Port, der sowohl der Datenübertragung als auch dem Aufladen des mobilen Geräts dient, kann Malware von diesem Gerät auf den Zielrechner übertragen werden.
Gefahrenbeschreibung
BearbeitenWährend der Hackerveranstaltung DEFCON wurden von dem Unternehmen Wall of Sheep[1] „kostenlose Aufladestationen“ aufgebaut. Bei Nutzung dieser Aufladestationen wurde eine Nachricht mit dem Inhalt „... should not trust public charging stations with their devices“ angezeigt.[2] Das Ziel war es die Öffentlichkeit auf die Gefahr hinzuweisen, wie man durch ein solches unbedachtes Aufladen Opfer eines Angriffes werden kann. Zusätzlich wurde eine Präsentation gegeben, um Genaueres über diese Art des Angriffs zu erläutern.[3]
Der Sicherheitsforscher Kyle Osborn veröffentlichte im Jahr 2012 ein Framework, mit der Bezeichnung „P2P-ADB“, um das Gerät des Angreifers mit dem Gerät des Opfers zu verbinden. Durch diese Verbindung ist es dem Angreifer möglich das Gerät des Opfers zu entriegeln, Zugriff auf Daten zu erlangen und weitere Operationen vorzunehmen.[4]
Diplomanden und Studenten für Sicherheitsforschung des Georgia Institute of Technology lieferten einen Beweis für eine schädliche Anwendungssoftware namens „Mactans“, das den USB-Port eines Apple-Gerätes nutzt. Es wurde eine günstige Hardwarekomponente konstruiert, um ein iPhone während des Aufladens zu infizieren. Diese Software kann alle Sicherheitsvorkehrungen umgehen, welche im iOS enthalten sind, und versteckte sich als Apple-Hintergrundprozess.[5]
Sicherheitsforscher Karsten Nohl und Jakob Lell von srlabs[6] veröffentlichten ihre Arbeit über BadUSB auf der Black-Hat-Konferenz für Informationssicherheit[7] und demonstrierten einen Angriff über ein mit dem Computer verbundenes Smartphone oder Tablet, um zu zeigen, wie verwundbar über USB-Port verbundene Systeme sind. Sie lieferten auch einen Beispielcode für Firmware, welcher Android-basierte Systeme infizieren kann.[8]
Geschichte und Bekanntheit
BearbeitenBrian Krebs wies als Erster auf diese Methode des Angriffs hin und nannte sie „juice-jacking“. Nachdem er von den Aufladestationen von Wall of Sheep gehört hatte, schrieb er den ersten Artikel auf seiner Website zur Computer-Sicherheit.[9] Brian Markus, Joseph Mlodzianowski und Robert Rowley, alle Mitarbeiter von Wall of Sheep, hatten diese Aufladestationen als Werkzeug zur Warnung vor potenziellen Gefahren entworfen.
Im September 2012 demonstrierte Hak5 einen Angriff mithilfe des Frameworks P2P-ADB von Kyle Osborn.
Ende 2012 wurde ein Dokument von der NSA veröffentlicht, um die Mitarbeiter über die Gefahren zu informieren, die beim Aufladen ihrer Smartphones, Tablets oder Notebooks an öffentlich zugänglichen Ladestationen lauern können.[10]
The Android Hackers Handbook, veröffentlicht im März 2014, diskutiert im Wesentlichen Juice Jacking sowie das ADB-P2P Framework.[11]
Im April 2015 war Juice Jacking die Hauptthematik in der Episode von CSI: Cyber. Season 1: Episode 9, "L0M1S".[12]
Gegenmaßnahmen
BearbeitenBei Apple iOS wurden mehrere Sicherheitsmaßnahmen vorgenommen, um die Angriffsmöglichkeiten über USB-Ports zu verringern, wie beispielsweise automatische Einbindung als Datenträger beim Verbinden des Smartphones an einen Computer.[13]
Android-Geräte fragen nach einer Bestätigung, bevor sich das Gerät mit dem Computer als Datenträger verbindet. Seit Android-Version 4.2.2 existiert eine Whitelist-Funktion, um Angreifern einen Zugriff auf die ADB-Funktion von Android unmöglich zu machen.[14]
Juice Jacking ist nicht möglich, wenn ein Gerät über das mitgelieferte Netzteil angeschlossen wird. Auch die Anwendersoftware „USB Condom“, umbenannt in „SyncStop“, kann dem Nutzer Sicherheit geben.[15]
Literatur
Bearbeiten- Android Hacking Handbook, ISBN 978-1-118-60864-7.
- Marc Goodman: Global Hack: Hacker, die Banken ausspähen. Cyber-Terroristen, die Atomkraftwerke kapern. Geheimdienste, die unsere Handys knacken, ISBN 978-3446444638
- Marc Goodman: Future Crimes: Everything Is Connected, Everyone Is Vulnerable and What We Can Do About It, ISBN 978-0385539005
Weblinks
BearbeitenEinzelnachweise
Bearbeiten- ↑ Wall of Sheep - About us (englisch)
- ↑ Website von The Wall of Sheep, Beschreibung des Aufbaus. Aufgerufen am 8. Januar 2016
- ↑ Präsentation von Rowley, Robert, Juice Jacking 101. Aufgerufen am 8. Januar 2016
- ↑ von Kyle Osborn, P2P-ADB. Aufgerufen am 8. Januar 2016
- ↑ PDF ( des vom 4. August 2015 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis. , BlackHat Briefings 2013 Mactans. Aufgerufen am 8. Januar 2016
- ↑ Security Research Labs GmbH, Berlin ( des vom 4. März 2016 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
- ↑ BadUSB - On Accessories That Turn Evil, BadUSB Presentation. Aufgerufen am 8. Januar 2016
- ↑ von Android BadUSB Firmware (Seite nicht mehr abrufbar, festgestellt im April 2018. Suche in Webarchiven) Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis., Android BadUSB. Aufgerufen am 8. Januar 2016.
- ↑ Beware of Juice-Jacking, von Brian Krebs. Aufgerufen am 8. Januar 2016
- ↑ How American Spies Use iPhones and iPads, von Fast Company. Aufgerufen am 9. Januar 2016
- ↑ Android Hackers Handbook, von Wiley. Aufgerufen am 9. Januar 2016
- ↑ CSI:Cyber L0M1S, von Vulture Screencap Recap. Aufgerufen am 9. Januar 2016
- ↑ PDF ( des vom 4. August 2015 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis. , BlackHat Briefings 2013 Mactans. Aufgerufen am 8. Januar 2016
- ↑ ADB Whitelist, Android Police. Aufgerufen am 8. Januar 2016
- ↑ SyncStop, Website von SyncStop; aufgerufen am 9. Januar 2016.