Neues MacBook und Chromebook Pixel 2: USB Typ C birgt hohes Sicherheitsrisiko

Als Apple in der vergangenen Woche das neue MacBook enthüllte, spaltete der neue USB Typ C Port die Gemüter. Lediglich ein einziger Port soll am neuen MacBook für den Datentransfer und die Stromzufuhr zuständig sein. Auch Google setzt im neuen Chromebook Pixel 2 auf den neuen USB-Standard, wenngleich dieses zusätzlich über USB 3.0-Ports verfügt. Jetzt mahnen Sicherheitsexperten, dass der USB Typ C ein größeres Sicherheitsrisiko darstelle.

usb_typ_c

Zwar habe USB Typ C zweifelsohne seine Vorteile, doch da dieser nun zwingend für die Stromzufuhr der Geräte genutzt werden muss, ist der Rechner um ein Vielfaches anfälliger für Viren oder andere Hackerangriffe. Insbesondere die BadUSB-Sicherheitslücke – für die es nach wie vor keine Lösung gibt – aus dem letzten Jahr zeigt, dass USB-Medien nach wie vor relativ einfach zu manipulieren sind. Da solche Viren oder Trojaner in der Firmware des USB-Geräts eingebettet sind, wird der Computer direkt beim Einstecken infiziert – und das bevor man überhaupt die Chance hat das Gerät und dessen Inhalt zu überprüfen.

Zwar besitzen einige USB-Sticks mittlerweile einen eingebauten Schutz gegen Firmware-Infektionen, doch die breite Masse an Geräten ist nach wie vor anfällig. Wenn man das ganze noch etwas weiter spinnt, könnte sich durch die neue USB Typ C-Lösung ein sogenannter „borrowed charger“-Effekt entwickeln. Manchmal ist es ja so, dass ein Rechner infiziert ist, ohne dass der Besitzer es merkt. Verleiht dieser Mensch nun sein USB Typ C-Kabel an einen Freund, der damit seinen Rechner laden möchte, stehen die Chancen hoch, dass auch sein Rechner infiziert wird. Gleiches gilt sicherlich seit eh und je für reguläre USB-Sticks, aber da hatte man wenigstens noch die Wahl, ob man sich diesen ins Gerät steckt oder nicht.

Eine sichere Lösung für das Problem scheint leider nicht in Sicht und offenbar hat Apple hier nicht sehr weitsichtig gedacht. Bis eine sichere Lösung geschaffen wurde, sollte man vielleicht doch einen Bogen um fremde Ladekabel machen.

(via The Verge)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Nerdlicht in einer dieser hippen Startup-Städte vor Anker. Macht was mit Medien... Auch bei den üblichen Kandidaten des sozialen Interwebs auffindbar: Google+, Twitter, Xing, LinkedIn und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

35 Kommentare

  1. So ’n bullshit selten gelesen!.. Wer nutzt seine USB Ports gar nicht, auch wenn einen extra Ladeanschluss vorhanden ist?!? Das Risiko besteht bei ALLEN USB Geräte, nicht nur Sticks oder Ladegeräte! Will man safe sein, muss man komplett auf USB verzichten, das will ich mal sehen…

  2. kleinerhase2 says:

    Bei *WINDOWS* ! Wir sprechen hier von BSD (appl) und Linux (pixel) . Hier gibt es kluge Programmierer die die Treiber nicht im root scope laufen lassen – Viren Probleme jeder Art ??? ====> Windows. Hat was damit zu tun das Microsoft meint 20 Jahre rückwärtskompatibel sein zu müssen, und neue coole und sinnvolle Dinge so nicht einbauen kann….

  3. Was ein Kabel ohne Chips also ein paar verdammte Kupferdrähte sollen eine Gefahr sein?

    Bitte Caschy blogge ohne diese Pfosten.

  4. @kleinerhase2 nur hat Windows wesentlich weniger Sicherheitslücken als OS X. Aber ist halt wegen der grösseren Verbreitung das bevorzugte Ziel.

  5. Hab ich das richtig verstanden? Selbst das Kabel, kann infiziert werden? Ist das mehr als Stecker und Draht?

  6. @Tom woher weisst du wenn du ein Ladekabel z.B. nicht direkt bei Apple kaufst, dass es nicht noch ein Chip im Poweradapter hat?

  7. kleinerhase2 says:

    @ted: Microsoft ist nicht mehr das weit verbreitetste OS. Android hat 3x mehr Installationen. Microsoft hat aber das allerschlechteste Sicherheitskonzept, und eventuell die dümmsten User….

  8. oha, dann werd ich neben meiner Webcam jetzt auch noch die usb-ports mit einem Papierschnipsel zukleben – sicher ist sicher!

  9. Tobias Müller says:

    Mal zu meinem Verständnis: Ein USB-C Kabel hat nicht nur Kupferkabel in sich sondern auch einen Chip mit Firmware?
    Für was?

  10. Irgendwie schon seltsam. Da beschäftigt sich ein Konsortium Jahrzehnte lang mit einem Stecker und das Thema Sicherheit wird derart vernachlässigt. Vielleicht waren die proprietären Stecker und Kabel des vergangenen Jahrtausends doch garnicht so schlecht.

  11. Das ist allerdings ein Thema, das nicht nur USB-C betrifft. Generell ist die Sensibilität, was USB-Anschlüsse betrifft, noch nicht sehr ausgeprägt.

    Mir läuft immer ein kalter Schauer den Rücken runter, wenn ich Leute im BCIA sehe, die ohne weiter nachzudenken ihre Handies in die „freundlicherweise bereitgestellten“ USB-Ladestationen einstecken. Zuletzt hatte ich mal ein Testgerät in die USB-Dose unterm Sitz eines Airbus A330 eingesteckt — es zeigte eine Datenverbindung an.

    Es ist gut, dass das Thema mal zur Sprache kommt, kleine faktuelle Fehler hin oder her: Alles mit einer USB-Steckdose, was man nicht kennt, ist generell als „böse“ zu betrachten.

  12. Das Hauptproblem dieses Anschlusses ist doch, daß man bei „Lötstellenbruch“ das Notebook wegwerfen kann. Insbesondere, weil der Stecker sehr viel fragiler aussieht, als der alte „dicke“ USB Stecker.

    Ein Port = kein Backkup, wenn der mal kaputt sein sollte. Strom über nur diesen einen Port = steckt dauerhaft ein Kabel drinne und kann ggf. mal „hart“ ausgesteckt werden.

    Ich will demnächst ein neues MBP kaufen… die nächste Generation… und ich baue darauf, daß das weiterhin ein Mag-Safe hat.

  13. @ Tobias Müller: Normalerweise nicht, aber wenn du ein fremdes Ladekabel anschließt weißt du das doch nicht.

  14. Tobias Müller says:

    Naja zur Not ein eigenes Micro-USB Kabel mitbringen, wo man sicher ist, dass es nur V+ und GND Verbindung hat und keinerlei Datenkabelverbindung. Schon kannste überall bedenkenlos laden.

  15. Falls USB Power Delivery zum Einsatz kommt, dann steckt im Ladeadapter ein Chip, damit dieser die Spannung mit dem Gerät aushandeln kann.
    USB Power Delivery erlaubt bis zu 20V. Bei Kabeln/Stecker die 5A erlauben, kann so 100W übertragen werden.

    Aber die Kommunikation erfolgt bei USB Power Delivery ausschließlich über die Versorgungsspannungsleitungen, nicht über die Datenleitungen.
    Das ist ein Standard der Absichtlich unabhängig zu USB 2.0/3.x entwickelt wurde und genutzt werden kann.

  16. Wegen Lötstellenbruchs das Notebook wegwerfen? Sehr amüsant.

    Ich bin jetzt wirklich nicht die technisch versierteste Person unter der Sonne, aber selbst ich traue mir zu, eine Lötstelle wieder frisch zu verlöten. Irgendwie scheint Reparieren wohl out zu sein…

    (Und ja, ich finde auch, dass es besser wäre, ein Schaden würde gar nicht erst geschehen als dass man ihn reparieren müsste. Aber noch ist selbst dieses Szenario nichts als an die Wand geworfene Schatten – keiner weiß, ob die Buchse wirklich diesbezüglich anfällig sein wird oder nicht.)

  17. Thomas Baumann says:

    Ist das Heise Forum grade down?
    Bei manchen Kommentaren kringeln sich mir die Fußnägel hoch…

    „Oh mein Display ist gebrochen. Scheiß MacOS!“

    Tobias Müller hat ganz recht. Ladekabel verwenden wo die Datenleitungen nicht verbunden sind, schon ist man – was das Aufladen angeht – sicher.

  18. @Birgit: Schau dir mal dieses Bild an:
    http://cdn.arstechnica.net/wp-content/uploads/2014/08/Final_USB-Type-C-rendering_with-labels.jpg
    Und dann viel Spass beim Löten.
    Die Lötstellen werden von dem Stecker bedeckt und wir reden von ca. 0,5mm Pinabstand & Pinnbreite.
    @n0tcashed: Danke, Sehr Interessant.

  19. Die grundlegende Aussage aus dem Artikel von The Verge, dass die meisten Leute häufiger fremde Ladekabel für ihr Notebook benutzen, als dass sie fremde USB Sticks verbinden kann ich überhaupt nicht nachvollziehen. Bei mir ist es definitiv anders herum…

  20. Ach je, wenn ich mir hier so die meisten Kommentare durchlese.. ist ja s c h l i m m. Lauter Spezialprofis und Auskenner hier.

  21. @Birgit (17. März 2015 um 08:41 Uhr)

    > Wegen Lötstellenbruchs das Notebook wegwerfen? Sehr amüsant.

    Ich kann Löten (mit 20 Jahren Erfahrung)! Aber bei dem Versuch an einem iPod-Touch 3G die Lautsprecherbuchse zu reparieren und nebenbei den Akku zu wechseln mußte ich dann doch kapitulieren… Apples sind einfach nicht zum reparieren/zerlegen gemacht! Zu viel Klebstoff… zu dünne und kurze Flex-Verbinder…

    Und wer hat schon einen Secured-Pentalobe Size #0 Schraubendreher im Werkzeugkasten?

  22. Junge Junge, echt Heise-Forum reloaded. Aus welchem Hasenloch ist denn kleinerhase2 rausgekrochen?

  23. name nachname says:

    @alle sicherheits“experten“…wie wäre es wenn man einen zusätzlichen offline-rechner betreibt, auf welchem man alles private macht…einen für wichtige bankgeschäfte etc. über welchen auch dies läuft und einen für alles möglich, was die privatssphäre verletzen könnte? so teuer sind netbooks etc. nicht mehr, dass man das mit dem preis rechtfertigen könnte…

    oder noch besser..man hört einfach auf jeden scheiß zu kaufen und irgendwann müssen die firmen gegenlenken und maßnahmen ergreifen um ihre produkte durch sicherheit wieder atraktiv für die nutzer gestalten…

    endlos viele szenarien wie man problemen aus dem weg gehen könnte oder denen entgegenwirken könnte, aber dafür sind die meisten halt zu bequem..

  24. Das ist wirklich ein sehr schlechter und einseitiger, ich bin Apple-Fanboy und vermisse meinen Lightning-Anschluss -Beitrag! Grundsätzlich gilt das Problem für alle USB-Anschlüsse die als einzige Schnittstelle zur Verfügung stehen. Also jedes Android- und Windows- Tablet! Außerdem gilt das auch für Apples Lightning-Anschluss. Denn auch dieser kann Daten übertragen! Beitrag auf Bildzeitungs-Niveau. Ist man hier nicht wirklich gewohnt!

  25. Mir würde da eine noch modularere Lösung einfallen: Es müsste einfach ein winziger Zwischenstecker (USB Typ C Buchse auf Stecker) entwickelt werden, der in seinem Inneren einfach alle Datenleitungen kappt und nur die für’s Laden relevanten durchlässt.
    Dann könnte man ohne Bedenken auch jeden fremden Lader anschließen.
    Das hätte für mich einen echten Charme 🙂

  26. Pascal Wuttke says:

    @Marco Franke: Da du mich als Bild-Redakteur so großartig kennst…Wann genau habe ich mich als Apple Fanboy geoutet? Irgendwo muss ich da was verpasst haben. Und warum genau ist das Bildzeitung-Niveau, weil man sich berechtigte Sorgen macht? Ich weiß ja wirklich nicht, was du sonst so für Vormittagslektüre zu dir nimmst, aber tu uns allen den gefallen und troll da bitte rum!

    Die anderen Trolle hier á la Tom, der mir ebenfalls so liebevolle Kosenamen um die Ohren schmeißt, sollte vielleicht den Text ersteinmal LESEN, dann VERSTEHEN, dann runterscrollen zu den Kommentaren. Ist das tatsächlich so schwer geworden eine anständige und konstruktive Kritik zu äußern? Aus was für einem Elternhaus muss man eigentlich stammen, um in Kommentaren so wild rumzurülpsen und 360° Beleidigungen zu verteilen?

  27. @name nachname,

    du bezeichnest andere ironisch als ‚“Experten“‚ und willst selber für jede Aufgabe einen eigenen Rechner verwenden? Aha. Schonmal was von Virtuellen Maschinen gehört? 😉

  28. Kann man nicht einen Zwischenstecker konstruieren, der die Sicherheitsprüfung übernimmt? Ich denke bei dem neuen MacBook macht es Sinn sich sowas wie eine Docking-Station oder Steckleiste mit den fehlenden Anschlüssen (Monitor/Beamer, USB, SD-Card, Strom etc.) zuzulegen. Ich finde das Konzept alles schnurlos per Bluetooth zu erledigen interessant, aber dann muss z.B. meine Kamera das unterstützen…

  29. Ein Apple-Ingenieur erklärt, warum das neue Macbook nur eine einzige Buchse hat:
    http://youtu.be/KHZ8ek-6ccc
    🙂

  30. name nachname says:

    @jon…die virtuelle maschine läuft dennoch auf einer real existierenden partition…und wer glaubt, dass aus der sandbox nichts ausbrechen kann…egal, lassen wir das…

  31. @name nachname,

    aber wenn du das als Prämisse ansetzt bringt deine Methode auch herzlich wenig und es gibt mittlerweile sehr wohl Virtualisierungen, die unglaublich sicher sind. Man darf sich halt nicht anstellen wie der erste Mensch, wenn man sie konfiguriert und plant.

  32. @Ientille: 1+++
    Das Beste: Der ganze Scheiss kommt in Gold; natürlich ohne Anschlüsse und die Batterie sparen wir auch noch weg.
    Der Schauspieler macht es wirklich lustig.
    Dumm nur; auf die Idee wäre Steve später schon noch von selbst gekommen.
    Ein kastriertes, zugeklebtes, innen fast leeres MB für nur 1.999$ amazing, stunning, great,….
    aber dünn wie ein Blatt Papier.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.