USB-C-poort op nieuwe Macbook is groot veiligheidsrisico
Om tot de dunste Macbook ooit te komen, besliste Apple om zijn nieuwe laptop uit te rusten met maar één poort: een USB Type-C-aansluiting die zowel data als elektriciteit kan versluizen. Die aansluiting is dan wel praktisch en laat een interessant design toe, ze heeft ook zo haar problemen, schrijft The Verge.
Type-C is bijvoorbeeld nog steeds gebaseerd op de USB-standaard die kwetsbaar is voor firmware-aanvallen. Veiligheidsonderzoekers zijn ook bezorgd over andere aanvallen die gebruik kunnen maken van de rechtstreekse geheugentoegang die de aansluiting heeft.
[related_article id=”158256″]
Dit soort kwetsbaarheden zijn zeker niet nieuw, maar door ze, samen met de stroomvoorziening, te bundelen in één universele aansluiting worden ze wel moeilijker te vermijden. Op een standaardmachine hoef je de USB-aansluiting niet per se te gebruiken, als die USB-aansluiting samengevoegd wordt met de stroomvoorziening heb je echter geen andere keuze.
BadUSB
De grootste reden tot bezorgdheid is de BadUSB-kwetsbaarheid die vorig jaar voor het eerst opdook. Die aanval zit in de firmware van een USB-apparaat en infecteert pc’s bij de vroegste stadia van verbinding. Sommige USB-sticks hebben al een ingebouwde beveiliging tegen de kwetsbaarheid, maar computers zijn er veel lastiger tegen te beschermen.
Apple zal naar verluidt zijn USB-C-poort ook openstellen voor batterijen en laders van andere fabrikanten, wat het probleem nog erger maakt, want die kunnen ook worden besmet. Een echte oplossing voor BadUSB is er overigens ook nog niet, omdat USB een open standaard is die ook achterwaarts compatibel is. Zelfs giganten als Apple of Google kunnen die niet op hun eentje aanpassen. Je hebt dan wel een adapter nodig om oude USB-apparaten in de USB-C-poort te pluggen, de oude software-protocollen zullen werken, waardoor ook de bestaande kwetsbaarheden nog wagenwijd open staan.
Praktisch gezien betekent dat dat de Macbook en Chromebook Pixel kwetsbaar zijn voor de “geleende lader”-aanval. Nieuwere laders hebben dan wel niet de firmware om het BadUSB-virus te dragen, een geleend exemplaar zou best wel besmet kunnen zijn. Als die besmetting gebeurd is, verspreid ze zich razendsnel over alle apparaten die ingeplugd worden.
Lastige fout
Die fout herstellen op het ecosysteem-niveau is verrassend lastig. Geen enkel bedrijf kan de manier waarop USB werkt op zijn eentje veranderen, dus moet de complete standaard aangepast worden.
Apple heeft bijvoorbeeld authenticatiechips ingebouwd in zijn eigen Lightning-connectoren, vooral om de intellectuele rechten van het bedrijf te beschermen, maar met verbeterde veiligheid als interessant neveneffect. In een open standaard als USB, waarop ook oude en onbekende toestellen moeten werken, is dat niet mogelijk.
De beste bescherming bestaat er in om nooit een lader of randapparaat te gebruiken die je niet zelf hebt gekocht bij een betrouwbare verkoper. Maar of dat ook de meest praktische oplossing is?