Eine neue Version des "OMG Cable" kann Tastenanschläge von PCs und Macs durchführen und Inhalte per WLAN-Hotspot versenden.
Ein bekannter Hacker hat eine neue Version seines iPhone-Kabels veröffentlicht, mit dem sich Daten von verschiedenen Geräten stehlen lassen. Das sogenannte OMG Cable von Mike Grover ("MG") sieht aus wie ein reguläres, von Apple vertriebenes weißes USB-C-auf-Lightning-Kabel, wie es sie millionenfach gibt, enthält aber Elektronik, die zum Ausführen von Tastenanschlägen mit anschließendem Keylogging sowie vor allem zum Weiterversand abgefischter Inhalte verwendet werden kann. Denn ein WLAN-Hotspot ist gleich eingebaut.
Standardmäßig sollen Angriffe auf Macs, PCs, iPhones und iPads möglich sein. Gegenüber dem IT-Blog Motherboard sagte Grover, es habe Leute gegeben, die gemeint hätten, USB-C-Kabel seien sicher vor dieser Form eines "Implants" weil es nicht genug Platz für die Elektronik gibt. "Denen musste ich natürlich zeigen, dass das nicht stimmt", sagte er mit einem Smiley.
Noch gibt es das neue OMG-Kabel – im Gegensatz zur alten Version – nicht zu kaufen. Er müsse bis zu zwölf Monate warten, bis bestimmte Bauteile aufgrund der aktuellen Chipkrise wieder erhältlich seien, so Grover. Die Miniaturisierung macht zudem das Auffinden (oder den Wechsel) passender Hersteller schwierig. Die erste Version des Kabels kostete 120 US-Dollar. Der Einsatz solcher Hardware ohne Genehmigung des Besitzers des Rechners dürfte gegen diverse Gesetze verstoßen; für vorab genehmigte Penetrationstests und Sicherheitsüberprüfungen ist die Hardware aber auch geeignet. (bsc)
Ein bekannter Hacker hat eine neue Version seines iPhone-Kabels veröffentlicht, mit dem sich Daten von verschiedenen Geräten stehlen lassen. Das sogenannte OMG Cable von Mike Grover ("MG") sieht aus wie ein reguläres, von Apple vertriebenes weißes USB-C-auf-Lightning-Kabel, wie es sie millionenfach gibt, enthält aber Elektronik, die zum Ausführen von Tastenanschlägen mit anschließendem Keylogging sowie vor allem zum Weiterversand abgefischter Inhalte verwendet werden kann. Denn ein WLAN-Hotspot ist gleich eingebaut.
Nochmals verkleinert
Die erste Version des OMG Cable (was für "Offensive MG" steht) war noch ein USB-A-auf-Lightning-Kabel, das mehr Raum für die notwendigen Komponenten lässt – nun ist es Grover laut eigenen Angaben gelungen, die Technik auch in einen USB-C-Stecker zu integrieren. Das System ist so konzipiert, dass es sich sogar "selbstzerstören" kann, damit der Angreifer nicht entdeckt wird oder das Kabel an einem anderen als dem zu beschnüffelnden Gerät verwendet wird.Standardmäßig sollen Angriffe auf Macs, PCs, iPhones und iPads möglich sein. Gegenüber dem IT-Blog Motherboard sagte Grover, es habe Leute gegeben, die gemeint hätten, USB-C-Kabel seien sicher vor dieser Form eines "Implants" weil es nicht genug Platz für die Elektronik gibt. "Denen musste ich natürlich zeigen, dass das nicht stimmt", sagte er mit einem Smiley.
Reichweite bis zu eine Meile
Wird das OMG Cable an einen Windows-PC oder Mac angesteckt, meldet es sich dort als Eingabegerät an. Auf den Maschinen erfolgt dafür normalerweise keine Abfrage. Ein Angreifer kann dann Eingaben auf dem Computer der Zielperson ausführen und diese etwa zum Keylogging veranlassen oder Phishing-Seiten anzeigen. Die Reichweite wurde optimiert: In Versuchen soll das Kabel noch in einer Meile Entfernung (mit entsprechender Antenne) angesprochen worden sein. Der integrierte Funkchip erlaubt es alternativ auch, das Kabel als Client in ein lokales WLAN einzuloggen und so Angriffe aus größerer Entfernung auszuführen – solange das manipulierte Ladekabel im Computer stecken gelassen wird und Strom bekommt.Noch gibt es das neue OMG-Kabel – im Gegensatz zur alten Version – nicht zu kaufen. Er müsse bis zu zwölf Monate warten, bis bestimmte Bauteile aufgrund der aktuellen Chipkrise wieder erhältlich seien, so Grover. Die Miniaturisierung macht zudem das Auffinden (oder den Wechsel) passender Hersteller schwierig. Die erste Version des Kabels kostete 120 US-Dollar. Der Einsatz solcher Hardware ohne Genehmigung des Besitzers des Rechners dürfte gegen diverse Gesetze verstoßen; für vorab genehmigte Penetrationstests und Sicherheitsüberprüfungen ist die Hardware aber auch geeignet. (bsc)