[Technik] e-Zigarette: Potentielle Malwareschleuder

Lange Zeit wurde über die Gesundheitsaspekte von e-Zigaretten diskutiert und es wäre beinahe sogar zu einem Verbot gekommen. Andere gesundheitliche Aspekte wurden dabei aber völlig außer Acht gelassen: Die PC-Gesundheit. Viele der e-Zigaretten werden über ein USB-Kabel oder einen direkten USB-Anschluss am PC aufgeladen - eigentlich praktisch, würde man der Zigarette dadurch nicht auch Zugriff auf den PC geben.

Bekannt wurde das Problem in einem Bericht der britischen Zeitung The Guardian. Eine vom Chef höchstpersönlich verwendete e-Zigarette -made in China- infizierte ein ganzes Firmennetzwerk und war lange Zeit nicht auffindbar. Einmal über das mitgelieferte USB-Kabel angesteckt, begann die Zigarette sofort damit, nach Hause zu telefonieren. Virenscanner und andere Schutzmechanismen zeigten sich unbeeindruckt gegenüber der fest im Ladebereich eingebauten Malware und ließen diese problemlos passieren.


Quelle: Chip
Bild: Cigarette électronique von Mobydoux - CC BY-SA 3.0

 

[TBow]

Einmal über das mitgelieferte USB-Kabel angesteckt, begann die Zigarette sofort damit, nach Hause zu telefonieren.

Kreativ sind sie, die Cracker. Das kann man echt nicht abstreiten.

Ich freu mich schon auf die smarten internetfähigen Kühlschränke.
Da kaufste dir ne Packung Milch und schon biste am Arsch.

 

[gelöschter Benutzer]

..

Ich freu mich schon auf die smarten internetfähigen Kühlschränke.
Da kaufste dir ne Packung Milch und schon biste am Arsch.

kaufst du deine Milch in China?
ein Glück sind doch europäische Firmen an gewisse Vorgaben gebunden...

 

[accC]

ein Glück sind doch europäische Firmen an gewisse Vorgaben gebunden...

Muharharharharharhar ymmd. Zum Glück stammt nicht 99,9999999% von ALLEM aus China und die einzigen Vorgaben, die es in Deutschland gibt, gehen auf die Art der Lebensmittel und selbst das nur bedingt. Staatlich geprüft aus der Region mit Region = irgendwo auf diesem Planeten gezüchtet. Als stammten die Tonnen an Käse alle samt vom Bauer um die Ecke.

Lustig, aber keinen falls überraschend.

 

[TBow]

kaufst du deine Milch in China?

Nö, aber pöhsen Purchen könnten die Lebensmittel manipulieren.
Aber vielleicht gibts ja auch eine NSA verseuchte Milch. Angie würde die ohne Vorbehalt schlabbern.

 

[gelöschter Benutzer]

Muharharharharharhar ymmd. Zum Glück stammt nicht 99,9999999% von ALLEM aus China und die einzigen Vorgaben, die es in Deutschland gibt, gehen auf die Art der Lebensmittel und selbst das nur bedingt. Staatlich geprüft aus der Region mit Region = irgendwo auf diesem Planeten gezüchtet. Als stammten die Tonnen an Käse alle samt vom Bauer um die Ecke.

Lustig, aber keinen falls überraschend.

du meinst also, eine in Deutschland und für den deutschen Markt produzierte E-Zigarette hat illegal Software drauf?
Und deutsche Milch verursacht dann beim smart-Kühlschrank das "schon biste am Arsch. "?

Bisschen übertrieben alles, oder?

 

[accC]

Nein, ich meine, dass du heute nicht mehr um "made in China" drum herum kommst. Schau doch mal an, wo der ganze Shit herkommt, den du daheim rum stehen hast.. Ich will das weiß Gott nicht schlecht reden, auch wenn man sicherlich einige Kritik an unserer "möglichst billig kaufen"-Mentalität aussetzen könnte, Fakt ist es aber trotzdem.

Dass auch speziell für den deutschen Markt produzierte Produkte nicht immer einwandfrei sind, wurde schon hinreichend oft gezeigt. USB-Sticks mit Malware drauf sind auch schon in Deutschen Discountern über die Ladentheken gewandert. Ob es jetzt die Milch ist, die in 30, 50 oder 100 Jahren den SmartFridge mit Malware infiziert oder das Glas Gurken ist ja letztlich auch egal. Um genau zu sein, wird es aller Voraussicht nach eher die Verpackung sein, in der ein manipulierter Chip sitzt. Solange wir "nur" Turing-mächtige Computer produzieren wird sich nichts daran ändern, dass man auch Malware darauf ausführen kann und ich sehe keinen Grund, warum man speziell vor Kühlschränken halt machen sollte. Gerade Lebensmittel dürften ein interessanter Angriffsvektor werden.

Stell dir nur mal vor, dein Kühlschrank kann dir über Art, Zusammensetzung, Qualität und Genießbarkeit von Lebensmitteln Garantien geben. Dann wäre es schon aus geschäftlicher Sicht interessant hier zu manipulieren. Wenn der Kühlschrank dir sagt, dass dein Biohack aus regionalem Anbau eigentlich zu 37,5% Rinterfäkalien aus Buxdehude sind, wäre das für die Lebensmittelindustrie unerfreulich. Genauso könnten Verfallsdaten manipuliert werden, quasi: "Frischwurst, hergestellt: gestern, Mindesthaltbar bis 2026", dabei lagert das Produkt schon seit 10 Jahren irgendwo tiefgekühlt in einer Lagerhalle. Noch interessanter wären allerdings Giftanschläge, wenn man sich eines Tages zu sehr auf die Technik verlässt. Da zertifiziert der Kühlschrank, dass der Apfelkuchen für den Präsidenten einwandfreie Qualität hat und später ist es ein vergifteter Kuchen, der eigentlich aus dem Irak stammt. - Der Phantasie sind für Missbrauch nahezu keine Grenzen gesetzt und da wo Missbrauch möglich ist, wird er auch betrieben.

 

[gelöschter Benutzer]

Nein, ich meine, dass du heute nicht mehr um "made in China" drum herum kommst. ..

natürlich nicht.

Aber es ist doch (ein Glück derzeit noch) ein großer Unterschied ob du von einer in Europa oder USA ansässigen Firma ein Produkt kaufst (die natürlich in China produzieren lassen) oder direkt bei aliexpress in China was kaufst.

Das gilt natürlich nicht für alle Produkte.
Hier geht es aber um nen Malwarestick und nen Smartkühlschrank.

 

[accC]

Es macht eben keinen Unterschied. Glaubst du nur weil Cisco oder Apple oder Intel auf dem Chip steht, wurde er jetzt plötzlich von seriöseren oder gar besser bezahlten Arbeitern hergestellt? Das ist vollkommen egal, was da drauf steht. Gefühlte 90% der Hardware kommt aus Foxconn-Werken, egal welcher US/EU/DE/UK/.. Hersteller später sein Logo drauf pappen lässt. Und wenn Apple preisverdächtig seine Produktion von Foxconn Werk A nach Foxconn Werk B verlegen lässt, weil in Werk A Kinderarbeit nachgewiesen wurde, dann heißt das auch nicht, dass Apple Produkte jetzt plötzlich nicht mehr von unterbezahlter Sklaven-Kinderhand produziert werden. Dann heißt es bestenfalls, dass sie jetzt von anderen Kinderhänden produziert werden.
Im Übrigen brauchst du dir auch nichts vorzumachen, wenn die Hardware aus China kommt, dann ist halt die Malware von Chinesischen Hackern und Überwachungssoftware der chinesischen Regierung drauf, ist es made in USA, hast du halt die Malware der US-Hacker und Spionagesoftware der NSA drauf. Unterschied für dich = 0. Außer natürlich du fühlst dich besser, wenn du weißt, dass die Hacker zu einer anderen Regierung gehören.

 

[gelöschter Benutzer]

Mit Linux wäre das natürlich nicht passiert

(klar, BadUSB und tailored 0days gehen auch mit e-cigs, aber das kann man ja locker verhindern)

 

[Kugelfisch]

Das Problem liesse sich allerdings auch durch Nutzung eines USB-Kabels oder Zwischensteckers lösen, welcher die Datenleitungen unterbricht (bzw. gemäss der USB-Charging-Spezifikation mit einem passenden Widerstand brückt). Übrigens besteht die Problematik auch in der anderen Richtung, wenn z.B. ein Smartphone oder Tablet über USB an einem nicht vertrauenswürdigen Rechner oder mit einem Netzteil fraglicher Herkunft aufgeladen werden soll. Als fertige Lösung klingt http://syncstop.com/ interessant, auch wenn die $20 pro Stück für eine solch triviale Schaltung IMHO eher teuer sind.

 

[Novgorod]

und wiedermal ein hoch auf den autostart und die standardeinstellungen

 

[drfuture]

Das ganze ist weder auf Windows noch auf den autostart limitiert. Eine nette Möglichkeit ist z.b. die simulierung von tastatureingaben... gibt es zum ausprobieren für jeden zu kaufen (http://hakshop.myshopify.com/products/usb-rubber-ducky-deluxe)
Die Elektronik lässt sich natürlich auch überall sonst einbauen

 

[BurnerR]

Demnächst synchronisiert sich die e-Zigarette im heimischen W-Lan automatisch mit der Cloud damit man sehen kann wie oft und wie viel man die verwendet hat. Und wo.


Ich hield die news jedenfalls erst für einen Witz. e-Zigarette, malware, klar weil halt "e"-Zigarette. Aber ne. Per usb aufladen. lol.

 

[Novgorod]

war ja klar, dass wieder jemand mit den tastaturen ankommt .. sicher ist das prinzipiell möglich (auch wenn davon nichts im artikel steht), aber blind-eingaben, deren "nutzen" extrem eingeschränkt ist, eignen sich kaum für massen-malwarevertrieb, sowas ist eher für einen ganz gezielten angriff auf ein "bekanntes" system interessant (und mit dem "unbemerkt" wird es auch schwierig, wenn erstmal ein script zur erkennung des laufwerksbuchstaben, unter dem das USB-volume mit dem virus eingebunden wird, in die konsole getippt werden muss)..

 

[gelöschter Benutzer]

@drfuture: unter Linux kann man HIDs, die nach dem Booten angeschlossen werden, allerdings ganz easy über udev deaktivieren.

Warum nimmt man aber für die e-cig nicht einfach einen billigen USB-Hub oder ein USB-Ladegerät, sondern steckt das an einen PC? Wer ist so doof?

 

[drfuture]

Ja phreak dazu musst du aber die controller-id wissen und wenn du die hast ist es vermutlich schon zu spät.id's deaktivieren geht unter Windows per gruppenrlichtlinie durchaus sich unkompliziert...

@nov
Klar sieht man die Eingaben, aber die kann man recht schnell machen und sowas wie command Fenster aus dem Bildschirm schieben.. die richtigen Befehle gehen auf jeden System gleich. Ich habe selber in ein paar Minuten ein Script geschrieben das alle Mails aus Outlook an eine ext. Mail schickt vom normalen unbedarften Anwender relativ unbemerkt. Man darf da nicht immer von sich ausgehen. Klar geht das in dem Fall nur unter Windows und mit Outlook... aber zum einen haben das Recht viele und zum anderen war mein Aufwand sehr gering und nicht böswillig

 

[accC]

@drfuture: unter Linux kann man HIDs, die nach dem Booten angeschlossen werden, allerdings ganz easy über udev deaktivieren.

Warum nimmt man aber für die e-cig nicht einfach einen billigen USB-Hub oder ein USB-Ladegerät, sondern steckt das an einen PC? Wer ist so doof?

Bequemlichkeit?
Meinen PC habe ich hier direkt unter mir stehen. Auch wenn ich unterwegs bin habe ich den Laptop so gut wie immer in Griffnähe. Auch im Büro steht der Rechner neben mir.
Ein USB Ladekabel habe ich daheim in der Schublade, ein anderes liegt am Nachttisch, ein weiteres ist in meiner Reisetasche. Für mein Handy nutze ich in der Regel ebenfalls nur ein USB-MicroUSB-Kabel, das ich anschließend mit dem PC verbinde.
Auch wenn ich Nicht-Raucher bin und daher nicht der Problematik verseuchter eZigaretten unterliege, kann ich nachvollziehen, dass man sie zum Laden aus Bequemlichkeit an den PC steckt.

 

[gelöschter Benutzer]

Ja phreak dazu musst du aber die controller-id wissen und wenn du die hast ist es vermutlich schon zu spät.id's deaktivieren geht unter Windows per gruppenrlichtlinie durchaus sich unkompliziert...

Nein: http://security.stackexchange.com/questions/64524/how-to-prevent-badusb-attacks-on-linux-desktop

 

[KaPiTN]

Bekannt wurde das Problem in einem Bericht der britischen Zeitung The Guardian. Eine vom Chef höchstpersönlich verwendete e-Zigarette -made in China- infizierte ein ganzes Firmennetzwerk und war lange Zeit nicht auffindbar.

Das liest sich so, als wäre dies beim Guardian geschehen, also der Chef des Guardian und das Netzwerk des Guardian.

Aber der Guardian hat nur geschrieben, daß irgendjemand davon auf Reddit berichtet hat.

Chip schreibt, dass Security-Dienstleister Trend Micro den Bericht bestätigt hätte. Der Guardian hat aber nur geschieben, dass jemand von Security-Dienstleister Trend Micro die Geschichte für plausibel hält.

Unter dem Strich also erst mal nicht mehr als ein Scheißhausgerücht.