Technik

Passwort-Klau per Video Jacking Vorsicht an öffentlichen USB-Ladestationen!

USB-Ladestation.jpg

An USB-Ladestationen sieht man nur die Stecker, nicht aber, welche Verbindungen sie haben.

(Foto: kwe)

Wer sein Smartphone an einer öffentlichen USB-Ladestation betankt und benutzt, läuft Gefahr, dass Angreifer PINs, Passwörter, Chats und vieles mehr aufzeichnen können. "Video Jacking" ist bei sehr vielen Geräten möglich - auch beim iPhone.

Smartphones an öffentlich zugänglichen USB-Steckern aufzuladen, kann ein Sicherheitsrisiko sein. Zum Schutz vor Spionage sollte man lieber auf eigene Kabel und Ladegeräte zurückgreifen, rät der Sicherheitsexperte Brian Krebs in seinem Blog " krebsonsecurity.com". Er hat mit Brian Markus und Robert Rowley gesprochen, die das sogenannte "Video Jacking" entdeckt haben.

Dabei werden über die USB-Verbindung nicht direkt Daten übertragen, wie es beim "Juice Jacking" genannten Verfahren passieren kann - diese Gefahr wurde unter iOS und Android unter anderem durch Sicherheitsabfragen größtenteils gebannt. Beim "Video Jacking" wird über vermeintlich harmlose Ladestationen der gesamte Displayinhalt des Smartphones übertragen und als Video gespeichert. Angreifer können so nicht nur aufzeichnen, was Nutzer ansehen oder besuchen, sondern auch jede Eingabe nachvollziehen. Dadurch sind die Besitzer der Ladestationen in der Lage, Sicherheitscodes, Passwörter und Texteingaben auszulesen. Sie können sogar erkennen, welche PIN zum Entsperren des Displays eingegeben wird. Ein Sicherheitsdesaster.

Viele Android-Smartphones betroffen

Laut Blogeintrag sind grundsätzlich alle Android-Smartphones oder andere Geräte betroffen, an deren Micro-USB-Port auch der formgleiche Mobile High Definition Link (MHL) oder ein Slimport-HDMI-Adapter angeschlossen werden können. Für das ungeübte Auge sind sie von normalen Micro-USB-Steckern nicht zu unterscheiden - den Akku des Smartphones laden sie alle. Um herauszufinden, ob das eigene Smartphone verwundbar ist, kann man das Handbuch lesen oder online recherchieren. Unter anderem stellen Phonerated und GFInnovations Listen mit HDMI- oder MHL-fähigen Geräten zur Verfügung.

"Bei all diesen Smartphones ist der HDMI-Zugang grundsätzlich aktiviert", sagt Brian Markus. Einige der Geräte würden wenigstens kurz anzeigen, dass eine HDMI-Verbindung besteht, bei den meisten betroffenen Smartphones sähen die Nutzer aber gar keinen Hinweis. Bei allen getesteten Geräten sei dies der Fall gewesen, so Markus.

Auch iPhones verwundbar

Aber nicht nur bei Android-Smartphones ist "Video Jacking" möglich. Mit einem Lightning-Digital-AV-Adapter funktioniert der Angriff auch mit einem iPhone 6. Dieser lasse sich problemlos in einer Ladestation verstecken und mit einer Verlängerung versehen, an die wiederum ein normales Lightning-Kabel gesteckt werde, erklärt Markus. Den Test führte er in einem Apple Store durch, wo er sich einen AV-Adapter vorführen ließ. In einem Video sieht man am Computerbildschirm, wie die Verkäuferin ihre PIN eingibt.

Brian Krebs rät deswegen dazu, unbekannte Stecker und Ladekabel links liegen zu lassen und eigene Kabel zu nutzen. Am sichersten ist, wer sein eigenes Ladegerät und sein eigenes Kabel benutzt.

*Datenschutz

Quelle: n-tv.de, kwe/dpa

Mehr zum Thema