Dvaja vedci z univerzity George Mason, Dr. Angelos Stavrou a Zhaohui Wang, preukázali schopnosť používať smartphone (Nexus One, ale Dr. Stavrou tvrdí, že to platí aj pre iPhone) ako HID (Human Input Device) cez USB. Jednoducho povedané, iba pripojenie telefónu k počítaču spôsobí, že bude fungovať ako myš alebo klávesnica, bez servera na danom počítači, a ponúka malé alebo žiadne varovanie na obrazovke počítača.
Zvyčajne by sme nazvali niečo podobné tomuto jednému helluva cool hack, ale je tu aj strašidelná stránka. Zneužitie by sa mohlo stať vírusovým v systémoch Windows, Mac a Linux. Podľa Dr. Stavrou;
„ Povedzme, že váš počítač je ohrozený a svoj telefón s Androidom ohrozíte jeho pripojením. Potom, kedykoľvek pripojíte smartfón k inému prenosnému počítaču alebo počítačovému zariadeniu, môžem tento počítač prevziať a potom kompromitovať ostatné počítače, ktoré sú z tohto systému Android. vírusový typ kompromisu pomocou kábla USB. ““
To nás upútalo, a tak sme oslovili Dr. Stavrou, ktorý bol taký láskavý, že nám odpovedal na niekoľko otázok. Prečítajte si zvyšok po prestávke.
Čím sa to líši od existujúcich aplikácií, ktoré menia váš smartfón s Androidom na HID prostredníctvom WiFi, Bluetooth alebo USB?
Aplikácie, ktoré sťahujete z trhu Android a ktoré vyzerajú rovnako, vyžadujú, aby ste do počítača nainštalovali súčasť servera. Toto využitie nielenže nevyžaduje vstup na strane počítača, ale tiež sa môže preniesť na hostiteľský počítač a infikovať ho komponentmi potrebnými na ohrozenie ďalšieho telefónu, ktorý pripojíte. Premýšľajte, keď pripojíte myš USB do počítač - malé upozornenie, ktoré vidíte na systémovej lište (Windows, Mac - Linux v predvolenom nastavení neposkytuje žiadne upozornenia), je varovaním, ktoré dostanete. O niekoľko sekúnd neskôr môže telefón ovládať počítač rovnako ako „skutočné“ periférie.
Zakáže vaše zneužitie uzamknutie obrazovky v postihnutom počítači?
Je to úľava, ale ten, kto sa na letisku pýta, či si môže nabíjať svoj telefón z vášho notebooku, by si mohol (teoreticky) stiahnuť a nainštalovať niečo oveľa horšie - napríklad keylogger.
Poskytuje toto využitie útočníkovi viac energie alebo nástrojov ako fyzická klávesnica alebo myš, ktorá je pripojená k príslušnému počítaču?
Veci sú trochu chlpaté. Nový kamarát na letisku by mohol tiež chytiť a analyzovať vaše údaje tým, že predstiera, že ide o bezdrôtovú kartu USB, alebo sa pokúša spustiť zneužitie proti počítačovému OS. A nakoniec najúžasnejšia časť zneužitia, ale aj tá časť, ktorá je pre fanúšikov Android najzaujímavejšia;
Hostiteľ USB je v pohode hrať. Robiť zbytočné, podivné veci, ako napríklad mať s pevným diskom USB s kapacitou 250 GB pripojeným k telefónu, je súčasťou zábavy s telefónom Android. Títo chlapci prešli o krok ďalej a jeden telefón majú ako druhý prístroj namontovaný ako zariadenie USB. Viem, že by sme to mali brať vážne, ale hádajte, čo sa pokúsim nabudúce, keď mám trochu voľného času?
So všetkou vážnosťou, žiadny kúsok kódu, ktorý beží sám osebe a dokáže sa prenášať z jedného počítača na druhý, nie je dobrá vec. Toto konkrétne využitie však vyžaduje fyzický prístup k počítaču, takže jeho prípad použitia nie je príliš široký. Upravuje bežiace jadro vášho smartfónu, takže na vloženie kódu sú potrebné oprávnenia typu root, a ak ste zakorenení, mali by ste používať Superuser.apk, aby vás na to upozornili pri prvom výskyte. A keďže sa to deje cez kábel USB, ste od samotnej klávesnice a myši vzdialení najviac 3 stopy. Nedovoľte, aby vaše konektory USB používali náhodní cudzinci, praštění spolubývajúci alebo bývalé priateľky. Veci pravdepodobne budú v poriadku.
