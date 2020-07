Fast jeder Nutzer weiß, dass es eine schlechte Idee ist, aufgefundene USB-Speichersticks zu verwenden – allzu oft haben Hacker diese präpariert. Doch auch Ladekabel stellen mittlerweile eine Angriffsmethode dar, wie Bastian Bauer in der aktuellen iX 7/2020 erklärt.

Der Artikel stellt das neue Exploit-Werkzeug USBNinja vor. Getarnt als USB-Stromquelle für das Smartphone, lässt sich so ein System per Fernsteuerung aus sicherer Distanz übernehmen. Grundlage ist wie bei anderer Peripherie zuvor der BadUSB-Angriff, über den sich Berechtigungen erschleichen und etablierte Sicherheitsrichtlinien umgehen lassen.

Ursprung des USBNinja ist eine Crowdfunding-Kampagne der RFID Research Group. Penetrationstester erhalten so ein Angriffswerkzeug in neuem Gewand, denn das Sensibilisierungstraining gegen traditionelle BadUSB-Peripherie zeigt Wirkung in Unternehmen. Neben dem Ladekabel sind im Paket eine Fernsteuerung und ein Magnetring enthalten. Über letzteren wird der Developer-Modus aufgerufen.

Aufseiten der Software lassen sich Payloads mit der Arduino-IDE und der Programmiersprache C schreiben. Beispielprojekte sind im Paket enthalten, des Weiteren erklärt der Artikel die ersten Schritte für Testangriffe.

