Neues MacBook und Chromebook Pixel 2: USB Typ C birgt hohes Sicherheitsrisiko

Als Apple in der vergangenen Woche das neue MacBook enthüllte, spaltete der neue USB Typ C Port die Gemüter. Lediglich ein einziger Port soll am neuen MacBook für den Datentransfer und die Stromzufuhr zuständig sein. Auch Google setzt im neuen Chromebook Pixel 2 auf den neuen USB-Standard, wenngleich dieses zusätzlich über USB 3.0-Ports verfügt. Jetzt mahnen Sicherheitsexperten, dass der USB Typ C ein größeres Sicherheitsrisiko darstelle.

usb_typ_c

Zwar habe USB Typ C zweifelsohne seine Vorteile, doch da dieser nun zwingend für die Stromzufuhr der Geräte genutzt werden muss, ist der Rechner um ein Vielfaches anfälliger für Viren oder andere Hackerangriffe. Insbesondere die BadUSB-Sicherheitslücke – für die es nach wie vor keine Lösung gibt – aus dem letzten Jahr zeigt, dass USB-Medien nach wie vor relativ einfach zu manipulieren sind. Da solche Viren oder Trojaner in der Firmware des USB-Geräts eingebettet sind, wird der Computer direkt beim Einstecken infiziert – und das bevor man überhaupt die Chance hat das Gerät und dessen Inhalt zu überprüfen.

Zwar besitzen einige USB-Sticks mittlerweile einen eingebauten Schutz gegen Firmware-Infektionen, doch die breite Masse an Geräten ist nach wie vor anfällig. Wenn man das ganze noch etwas weiter spinnt, könnte sich durch die neue USB Typ C-Lösung ein sogenannter „borrowed charger“-Effekt entwickeln. Manchmal ist es ja so, dass ein Rechner infiziert ist, ohne dass der Besitzer es merkt. Verleiht dieser Mensch nun sein USB Typ C-Kabel an einen Freund, der damit seinen Rechner laden möchte, stehen die Chancen hoch, dass auch sein Rechner infiziert wird. Gleiches gilt sicherlich seit eh und je für reguläre USB-Sticks, aber da hatte man wenigstens noch die Wahl, ob man sich diesen ins Gerät steckt oder nicht.

Eine sichere Lösung für das Problem scheint leider nicht in Sicht und offenbar hat Apple hier nicht sehr weitsichtig gedacht. Bis eine sichere Lösung geschaffen wurde, sollte man vielleicht doch einen Bogen um fremde Ladekabel machen.

(via The Verge)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar

Nerdlicht in einer dieser hippen Startup-Städte vor Anker. Macht was mit Medien... Auch bei den üblichen Kandidaten des sozialen Interwebs auffindbar: Google+, Twitter, Xing, LinkedIn und Instagram. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

35 Kommentare

  1. So ’n bullshit selten gelesen!.. Wer nutzt seine USB Ports gar nicht, auch wenn einen extra Ladeanschluss vorhanden ist?!? Das Risiko besteht bei ALLEN USB Geräte, nicht nur Sticks oder Ladegeräte! Will man safe sein, muss man komplett auf USB verzichten, das will ich mal sehen…

  2. kleinerhase2 says:

    Bei *WINDOWS* ! Wir sprechen hier von BSD (appl) und Linux (pixel) . Hier gibt es kluge Programmierer die die Treiber nicht im root scope laufen lassen – Viren Probleme jeder Art ??? ====> Windows. Hat was damit zu tun das Microsoft meint 20 Jahre rückwärtskompatibel sein zu müssen, und neue coole und sinnvolle Dinge so nicht einbauen kann….

  3. Was ein Kabel ohne Chips also ein paar verdammte Kupferdrähte sollen eine Gefahr sein?

    Bitte Caschy blogge ohne diese Pfosten.

  4. @kleinerhase2 nur hat Windows wesentlich weniger Sicherheitslücken als OS X. Aber ist halt wegen der grösseren Verbreitung das bevorzugte Ziel.

  5. Hab ich das richtig verstanden? Selbst das Kabel, kann infiziert werden? Ist das mehr als Stecker und Draht?

  6. @Tom woher weisst du wenn du ein Ladekabel z.B. nicht direkt bei Apple kaufst, dass es nicht noch ein Chip im Poweradapter hat?

  7. kleinerhase2 says:

    @ted: Microsoft ist nicht mehr das weit verbreitetste OS. Android hat 3x mehr Installationen. Microsoft hat aber das allerschlechteste Sicherheitskonzept, und eventuell die dümmsten User….

  8. oha, dann werd ich neben meiner Webcam jetzt auch noch die usb-ports mit einem Papierschnipsel zukleben – sicher ist sicher!

  9. Tobias Müller says:

    Mal zu meinem Verständnis: Ein USB-C Kabel hat nicht nur Kupferkabel in sich sondern auch einen Chip mit Firmware?
    Für was?

  10. Irgendwie schon seltsam. Da beschäftigt sich ein Konsortium Jahrzehnte lang mit einem Stecker und das Thema Sicherheit wird derart vernachlässigt. Vielleicht waren die proprietären Stecker und Kabel des vergangenen Jahrtausends doch garnicht so schlecht.

  11. Das ist allerdings ein Thema, das nicht nur USB-C betrifft. Generell ist die Sensibilität, was USB-Anschlüsse betrifft, noch nicht sehr ausgeprägt.

    Mir läuft immer ein kalter Schauer den Rücken runter, wenn ich Leute im BCIA sehe, die ohne weiter nachzudenken ihre Handies in die „freundlicherweise bereitgestellten“ USB-Ladestationen einstecken. Zuletzt hatte ich mal ein Testgerät in die USB-Dose unterm Sitz eines Airbus A330 eingesteckt — es zeigte eine Datenverbindung an.

    Es ist gut, dass das Thema mal zur Sprache kommt, kleine faktuelle Fehler hin oder her: Alles mit einer USB-Steckdose, was man nicht kennt, ist generell als „böse“ zu betrachten.

  12. Das Hauptproblem dieses Anschlusses ist doch, daß man bei „Lötstellenbruch“ das Notebook wegwerfen kann. Insbesondere, weil der Stecker sehr viel fragiler aussieht, als der alte „dicke“ USB Stecker.

    Ein Port = kein Backkup, wenn der mal kaputt sein sollte. Strom über nur diesen einen Port = steckt dauerhaft ein Kabel drinne und kann ggf. mal „hart“ ausgesteckt werden.

    Ich will demnächst ein neues MBP kaufen… die nächste Generation… und ich baue darauf, daß das weiterhin ein Mag-Safe hat.

  13. @ Tobias Müller: Normalerweise nicht, aber wenn du ein fremdes Ladekabel anschließt weißt du das doch nicht.

  14. Tobias Müller says:

    Naja zur Not ein eigenes Micro-USB Kabel mitbringen, wo man sicher ist, dass es nur V+ und GND Verbindung hat und keinerlei Datenkabelverbindung. Schon kannste überall bedenkenlos laden.

  15. Falls USB Power Delivery zum Einsatz kommt, dann steckt im Ladeadapter ein Chip, damit dieser die Spannung mit dem Gerät aushandeln kann.
    USB Power Delivery erlaubt bis zu 20V. Bei Kabeln/Stecker die 5A erlauben, kann so 100W übertragen werden.

    Aber die Kommunikation erfolgt bei USB Power Delivery ausschließlich über die Versorgungsspannungsleitungen, nicht über die Datenleitungen.
    Das ist ein Standard der Absichtlich unabhängig zu USB 2.0/3.x entwickelt wurde und genutzt werden kann.

  16. Wegen Lötstellenbruchs das Notebook wegwerfen? Sehr amüsant.

    Ich bin jetzt wirklich nicht die technisch versierteste Person unter der Sonne, aber selbst ich traue mir zu, eine Lötstelle wieder frisch zu verlöten. Irgendwie scheint Reparieren wohl out zu sein…

    (Und ja, ich finde auch, dass es besser wäre, ein Schaden würde gar nicht erst geschehen als dass man ihn reparieren müsste. Aber noch ist selbst dieses Szenario nichts als an die Wand geworfene Schatten – keiner weiß, ob die Buchse wirklich diesbezüglich anfällig sein wird oder nicht.)

  17. Thomas Baumann says:

    Ist das Heise Forum grade down?
    Bei manchen Kommentaren kringeln sich mir die Fußnägel hoch…

    „Oh mein Display ist gebrochen. Scheiß MacOS!“

    Tobias Müller hat ganz recht. Ladekabel verwenden wo die Datenleitungen nicht verbunden sind, schon ist man – was das Aufladen angeht – sicher.

  18. @Birgit: Schau dir mal dieses Bild an:
    http://cdn.arstechnica.net/wp-content/uploads/2014/08/Final_USB-Type-C-rendering_with-labels.jpg
    Und dann viel Spass beim Löten.
    Die Lötstellen werden von dem Stecker bedeckt und wir reden von ca. 0,5mm Pinabstand & Pinnbreite.
    @n0tcashed: Danke, Sehr Interessant.

  19. Die grundlegende Aussage aus dem Artikel von The Verge, dass die meisten Leute häufiger fremde Ladekabel für ihr Notebook benutzen, als dass sie fremde USB Sticks verbinden kann ich überhaupt nicht nachvollziehen. Bei mir ist es definitiv anders herum…

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.