Két kutató, a George Mason Egyetemen, Dr. Angelos Stavrou és Zhaohui Wang, bebizonyította, hogy képes-e okostelefonokat használni (Nexus One, de Dr. Stavrou szerint ez vonatkozik az iPhone-ra is) HID-ként (emberi bemeneti eszköz). USB-n keresztül. Egyszerűen fogalmazva: ha a telefont csatlakoztatja a számítógéphez, az egérként vagy billentyűzetként működik, mivel a szóban forgó számítógépen nincs kiszolgáló, és kevés figyelmeztetést vagy nem jelent figyelmeztetést a számítógép képernyőjén.
Általában ezt nevezzük helluva cool hack-nek, de van egy ijesztő oldal is. A kizsákmányolás virálissá tehető Windows, Mac és Linux rendszereken. Dr. Stavrou szerint;
" Tegyük fel, hogy otthoni számítógépe veszélybe kerül, és akkor veszélyezteti Android telefonját, ha összekapcsolja őket. Ezután, amikor az okostelefont egy másik laptophoz vagy számítástechnikai eszközhöz csatlakoztatom, átvehetem azt a számítógépet is, és ezután veszélyeztethetem más számítógépeket azon az Androidon kívül. Ez egy vírus típusú kompromisszum az USB-kábellel."
Ez felhívta a figyelmünket, ezért felkerestük Dr. Stavrou-t, aki elég kedves volt, hogy válaszoljon néhány kérdést nekünk. Olvassa el a többit, a szünet után.
Miben különbözik ez a meglévő alkalmazástól, amely Android-okostelefonját HID-vé teszi WiFi-n, Bluetooth-on vagy USB-n keresztül?
Az Android piacról letöltött alkalmazások, amelyek ugyanúgy működnek, és kiszolgáló-összetevőt kell telepíteni a számítógépre. Ez a kihasználás nemcsak nem igényel bemenetet a számítógép oldalán, hanem továbbadja magát a gazdaszámítógépnek, megfertőzve azokat a komponenseket, amelyek szükségesek a következő csatlakoztatandó telefon veszélyeztetéséhez. Gondoljon arra, hogy mikor csatlakoztatja az USB egérét számítógép - a tálcán látott kis előugró ablak (Windows, Mac - Linux alapértelmezés szerint nem ad értesítést) az összes figyelmeztetés, amelyet kap. Néhány másodperc múlva a telefon vezérelheti a számítógépet, akárcsak a „valódi” perifériák.
Kihasználja-e a képernyőn letiltott képernyőzárakat az érintett számítógépen?
Ez enyhítő, de a repülőtéren lévő srác, aki azt kérdezi, hogy tölti-e fel telefonját a laptopjáról, (elméletileg) letölthet és telepíthet valami jóval rosszabb dolgot is - mint például a keylogger.
Ez a kihasználás ad több energiát vagy eszközöket a támadó számára, mint a fizikai billentyűzet vagy egér, amelyet a kérdéses számítógéphez csatoltak?
A dolgok kissé szőrösek lesznek itt. Az új repülőtéri haverod megragadhat és elemezheti az adatait úgy, hogy úgy tesz, mintha egy USB vezeték nélküli kártya lenne, vagy próbálna kihasználni a számítógépes operációs rendszert. És végül, a kizsákmányolás legmenőbb része, ugyanakkor az is, ami az Android rajongók számára a legérdekesebb;
Az USB-gazdagép jó játékkal játszani. Az értelmetlen és geeky dolgok elvégzése, mint például egy 250 GB-os USB-merevlemez csatlakoztatása a telefonhoz, része annak a szórakoztató dolognak, amikor Android-telefonnal rendelkezik. Ezek a fickók egy lépéssel tovább mentek, és az egyik telefon USB-eszközként van felszerelve a másik telefonra. Tudom, hogy ezt komolyan kellene vennünk, de gondolom, mit próbálok legközelebb, amikor van egy kis szabadideje?
Nagyon komolyan, minden olyan kód, amely önmagában fut, és képes átvinni az egyik gépről a másikra, nem jó dolog. De ehhez a kizsákmányoláshoz fizikai hozzáférés szükséges számítógéphez, tehát a használati eset nem túl széles. Ez módosítja az okostelefonon futó kernelt, ezért root kódokra van szükség a kód beviteléhez, és ha gyökerezik, akkor a Superuser.apk programot kell figyelmeztetned erre, amikor először történik. És mivel ezt USB kábellel hajtják végre, akkor legfeljebb három lábnyira helyezkedhet el a tényleges billentyűzetről és egértől. Ne hagyja, hogy véletlen idegenek, ostoba szobatársak vagy volt barátnők használják az USB-csatlakozókat, és a dolgok valószínűleg rendben vannak.
