С начала времен идет непрерывная борьба «снаряда» и «брони». За прорывом в области наступления неминуемо идет прорыв в области защиты. Защитить свой телефон от нового метода кражи данных из-за уязвимости USB возможно, выполняя несложные рекомендации.
Поддельный кабель от Майка Гровера
На конференции DEF CON Майкл Гровер продемонстрировал свое творение — USB кабель с модулем беспроводной связи. Он взаимодействует с машинами на ОС Windows, macOS и Linux, и его невозможно отличить от оригинального Apple Lightning для iPhone. С помощью этого устройства, при подключении смартфона к компьютеру, злоумышленники получают полный доступ к системе. А управлять телефоном можно специальным приложением.
Хоть изобретение Гровера и направлено против пользователей Apple, ничего не мешает создать такое же орудие взлома для Android. По словам самого Майкла, в кабели для iPhone сложнее внести изменения по сравнению с остальными смартфонами, а значит они в большей опасности. Встроенный чип позволяет хакеру в радиусе 90 метров подключиться напрямую. А с помощью настроек беспроводной связи расстояние не имеет значения.
Гровер уже монетизировал технологию по взлому смартфонов. В домашних условиях он собрал пробную партию. «Хакерские кабели» под названием (O.MG), состоящих из инициалов создателя (MG) и аббревиатуры OMG (Oh My God), были распроданы по 200 долларов. В планах поставить производство на конвейер, чтобы удовлетворить спрос, и снизить цену вдвое — до 100 долларов.
USB кабеля от Кевина Митника
Кевин Митник узнал об уязвимости USB из блога Майкла Гровера. Не сумев связаться с героем прошлой главы, но вдохновившись его примером, Кевин Митник, RFID Research Group и SYON Security объединились для работы над USBHarpoon.
Многие IT-специалисты создавали подобие USBHarpoon, но ни один проект не завершился удачно. Лишь Митник с коллегами спроектировали аналог O.MG. Детище Кевина выглядит как обычный зарядный шнур, работает с машинами на всех операционных системах. Алгоритм прост: после подключения USB выполняется ряд команд и запускается пейлоад.
Как защитить свой телефон
Самый простой способ защиты телефона от заражения вредоносным кодом и кражи персональных данных — использование оригинального зарядного устройства, который идет в комплекте с девайсом.
Не рекомендуется брать кабели даже у близких, так как неизвестна предыстория USB. Если нет альтернативы, чужой шнур не стоит подключать к другим гаджетам. Зарядите телефон от розетки с помощью адаптера.
Также в зоне риска зарядные станции общего пользования. В 2011 году Брайан Маркус показал на DEF CON такую станцию собственной разработки. Она воровала пароли, файлы, переписки и контакты подключившихся пользователей. Станция простояла на конференции 3 дня и скомпрометировала данные 360 человек.
На крайний случай приобретите USB Condom. Это переходник, который призван защитить устройство. Однако технология кабелей O.MG обходит и их.
Относитесь к гарнитуре как к средствам личной гигиены. Вряд ли вы будете использовать зубную щетку с улицы. Соблюдение мер профилактики сохранит ваши персональные данные.