Tastaturen mit Sicherheitsrisiko

Apple: Manipulierte Firmware macht Tastatur zum Keylogger

Auf der Sicherheitskonferenz Black Hat hat K. Chen demonstriert, wie sich Apple-Tastaturen durch eine manipulierte Firmware als Keylogger missbrauchen lassen.

Chen zeigte zunächst, wie man manipulierte Firmware auf einer Apple-Tastatur installieren kann. Dazu nutzte er einen präparierten Firmware-Installer, über den die schädliche Firmware auf die Tastatur gelangte. Damit infizierte Eingabegeräte werden zum Komplizen eines Angreifers.

Keylogger sind beliebte Schnüffelinstrumente, um andere Nutzer auszuspionieren. Normalerweise laufen sie jedoch auf dem Rechner selbst, so dass Anti-Virenprogramme die Schädlinge erkennen. Tückischer ist es, wenn die Tastatur selbst verseucht ist. Auf der Sicherheitskonferenz Blackhat hat K. Chen nun gezeigt, dass es möglich ist, die Apple-Tastaturen zu manipulieren. Betroffen sind zumindest alle Alu-Modelle, die Apple seit 2007 verkauft hat. Diese Modelle haben einen Update-Mechanismus, mit dem neue Firmware auf den Tastaturen installiert werden kann.

Hackern ist es gelungen, die Aktualisierungsmethode zu erforschen und ein gefälschtes Update zu erstellen. Die modifizierte Firmware wurde mit einer Signatur gekennzeichnet, die das Update als neu auszeichnet. Dann kann sie als Firmware-Aktualisierung problemlos eingespielt werden.

Die Hacker konnten die Funktion der Firmware verändern, um ein von ihnen gewünschtes Verhalten implementieren. Da Apples Tastaturen einen Controller mit lediglich acht KByte Speicherplatz verwenden, bleibt jedoch kaum Platz, um zusätzlichen Schadcode auf das Keyboard zu schmuggeln. In einer veröffentlichten Machbarkeitsstudie wird gezeigt, wie man beispielsweise die LED der Caps-Lock-Taste steuern kann.

Theoretisch kann man eine manipulierte Tastatur aber auch als Türöffner für einen Angriff nutzen. So könnte man nach einer gewissen Zeit der Inaktivität des Nutzers vorprogrammierte Tastatureingaben ablaufen lassen - in der Hoffnung, dass der Nutzer diese nicht bemerkt. So könnte man mit der Kombination 'Befehlstaste-Leertaste' Spotlight aufrufen, die Tastatur "Terminal" tippen lassen und Return auslösen. So hätte diese Sequenz das Terminal geöffnet. Anschließend könnte man mit einem Befehl wie "exec …" und einer IP-Adresse sowie eines Programmnamens eine Anwendung auf einem entfernten Rechner starten.

Die Möglichkeiten eines solchen Hacks sind jedoch stark begrenzt, da man nur das Verhalten der Tastatur manipulieren kann und keine Schadsoftware direkt auf der Tastatur installieren kann. Der Speicherplatz der Keyboards ist dafür zu gering. Dennoch zeigt das Beispiel der Hacker, dass diese Peripherie nicht sicher gegenüber Angriffen ist und dass man den Update-Mechanismus von Apple offenbar austricksen kann. Ein Virenscanner kann manipulierte Hardware am Mac nicht erkennen.

Für das eigentliche Keylogging bietet die Tastatur sehr wenig Speicherplatz. Jedoch könnte sich die Tatstatur die ersten Zeichen nach dem Einschalten merken - in der Hoffnung, dass es sich dabei um das Passwort beim Login handelt. Hat der Angreifer Zugang zum Rechner, kann er diese Zeichen per geheimer Tastenkombination wieder abrufen und sich so Zugang zum System verschaffen.

Apple-Tastatur: Nicht nur Apple-Rechenr sind durch eine modifizierte Firmware gefährdet.
Apple-Tastatur: Nicht nur Apple-Rechenr sind durch eine modifizierte Firmware gefährdet.

Betroffen von dem Angriff sind nicht nur Apple-Rechner. Da der Schadcode auf der Tastatur abläuft, funktioniert er auch mit Windows-PCs, an denen die Apple-Tastatur angeschlossen ist. (Macwelt/mje)