Für das Betriebssystem handelt es sich bei dem Keyboard um ein harmloses Eingabegerät - deshalb funktioniert dieser Angriff trotz etwaiger Endpoint-Security-Lösungen, so die Forscher in der Zeitschrift Future Generation Computer Systems.
Die Forscher machen sich zunutze, dass das USB-Protokoll einfach darauf vertraut, dass sich Ein- und Ausgabegeräte wie Tatstatur und Lautsprecher selbst korrekt identifizieren. "Das USB-Protokoll hat in dieser Hinsicht tatsächlich Lücken, da nur Geräteklassen definiert werden", bestätigt Ralf Benzmüller, Leiter der G Data SecurityLabs.
Das Keyboard geht mehrstufig vor. Es lädt zunächst in Form scheinbar normaler Tasteneingaben Code auf den angeschlossenen Rechner. Die Software sucht nach Dateien mit bestimmten Schlüsselwörtern und gibt deren Speicherort über einen Kanal aus, der vermeintlich harmlos die LED-Anzeigen auf dem Keyboard steuert. Ein Prozessor im Keyboard entscheidet, welche Dateien näher abgefragt werden. Dies geschieht über einen USB-Kanal, der für das System nach gewöhnlichem Audio-Output aussieht. Letztendlich kann die Tatstatur eine Datei via zuvor installiertem Backdoor online übertragen.
Die Forscher halten auf Basis dieser Technik vor allem gezielte Insider-Angriffe innerhalb von Unternehmen für möglich. Dass manipulierte USB-Geräte zum Massenphänomen werden, gilt aber als eher unwahrscheinlich.
