In een poging om fabrikanten van universele seriële busstations te overtuigen om de beveiliging van hun firmware te verbeteren, heeft een team van beveiligingsonderzoekers aangetoond hoe eenvoudig het is om USB-thumbdrives om te zetten in een kwaadaardig installatieprogramma.
Bovendien hebben onderzoekers Adam Caudill en Brandon Wilson de tools gepubliceerd die ze gebruikten om die schijven in malware te veranderen. De taak om schijven om te zetten in kwaadaardige installatieprogramma’s zou kunnen worden gedaan via een toetsenbordaanval, wat de onderzoekers met een exacte gelijkenis demonstreerden tijdens een Derbycon-showcase.
De USB-sticks waarmee de tools die de onderzoekers gebruiken, blijken gebruik te maken van de Phison 2251-03 driver, wat ook van toepassing is gebleken op andere drivers die zijn ontwikkeld door het bedrijf Phison Electronics in Taiwan. Op dit moment zijn er nogal wat USB-sticks met Phison-stuurprogramma’s die gemakkelijk op de markt verkrijgbaar zijn.
Door de tools vrij te geven om USB-flashdrives om te zetten in kwaadwillende installatieprogramma’s, hopen de beveiligingsonderzoekers USB-fabrikanten ertoe aan te zetten de firmware van hun flashdrive te verplaatsen en te versterken met nieuwe updates en er ook bij Phison op aan te dringen ondersteuning toe te voegen voor ondertekende updates op USB-stuurprogramma’s die de bedrijf verkoopt.
Maar het is natuurlijk niet alleen dat Phison Electronics massaal USB-controllers aanbiedt, er zijn ook andere fabrikanten, maar het zijn Phison’s handen die Caudill en Wilson als eerste hopen te zien in de drive om apparaten te beschermen.
Tot op zekere hoogte kan de aanval worden verzacht. Maar beveiligingsonderzoekers erkenden het feit dat de USB-stick van het apparaat zelf moeilijk te bestrijden is, aangezien de miniatuurcomputer volledige controle heeft over de gebeurtenissen die plaatsvinden binnen de USB, en dus de zekerheid dat deze kan worden ontworpen om kwaadaardige activiteiten te verbergen.
USB-fabrikanten kunnen op zijn minst de installatie van ondertekende firmware-updates voor apparaatstuurprogramma’s vereisen om te voorkomen dat er met de firmware wordt geknoeid zodra deze door gebruikers is gekocht. Hoewel dit de praktijk is bij veel USB-leveranciers, neemt een aanzienlijk aantal leveranciers deze beveiligingsmaatregel nog steeds niet in acht.
Caudill en Wilson hebben de code vrijgegeven nadat ze over het idee hadden gehoord tijdens een demonstratie van andere beveiligingsonderzoekers tijdens een Black Hat-beveiligingsconferentie in Las Vegas, waar de zogenaamde BadUSB-aanval werd gedemonstreerd. Volgens de demo stelt een BadUSB-aanval een op een computer aangesloten USB-stick in staat zijn profiel te wijzigen en toetsaanslaggegevens te verzenden om malware te installeren of DNS-instellingen te manipuleren.
