Due ricercatori della George Mason University, il Dr. Angelos Stavrou e Zhaohui Wang, hanno dimostrato la capacità di utilizzare uno smartphone (un Nexus One, ma il Dr. Stavrou afferma che questo vale anche per l'iPhone) e un HID (dispositivo di input umano) tramite USB. In poche parole, il semplice collegamento del telefono a un computer fa sì che funzioni come un mouse o una tastiera, senza server sul computer in questione, e offre un avviso minimo o nullo sullo schermo del computer.
Di solito chiameremmo qualcosa di simile a questo fantastico hackuva, ma c'è anche un lato spaventoso. L'exploit potrebbe essere reso virale, su Windows, Mac e Linux. Secondo il dottor Stavrou;
" Dì che il tuo computer a casa è compromesso e tu comprometti il tuo telefono Android collegandoli, quindi, ogni volta che colleghi lo smartphone a un altro laptop o dispositivo di elaborazione, posso prendere anche il controllo di quel computer e quindi compromettere altri computer da quel Android. È un tipo di compromesso virale utilizzando il cavo USB."
Ciò ha attirato la nostra attenzione, quindi abbiamo contattato il dottor Stavrou, che è stato così gentile da rispondere ad alcune domande per noi. Leggi il resto, dopo la pausa.
In che modo differisce dalle applicazioni esistenti che trasformano il tuo smartphone Android in un HID tramite WiFi, Bluetooth o USB?
Le applicazioni scaricate dal mercato Android che sembrano fare la stessa cosa richiedono l'installazione di un componente server sul tuo computer. Questo exploit non solo non ha bisogno di input dal lato del computer, ma può anche passare al computer host, infettandolo con i componenti necessari per compromettere il prossimo telefono che colleghi. Pensa quando colleghi il mouse USB a un computer - il piccolo pop-up che vedi nella barra delle applicazioni (Windows, Mac - Linux non dà alcuna notifica di default) è tutto l'avvertimento che riceverai. Pochi secondi dopo il telefono può controllare il computer, proprio come le periferiche "reali".
Il tuo exploit disabilita i blocchi dello schermo sul computer interessato?
Questo è di sollievo, ma il ragazzo all'aeroporto che gli chiede se può caricare il suo telefono dal tuo laptop potrebbe anche (in teoria) scaricare e installare qualcosa di molto peggio, come un keylogger.
Questo exploit fornisce più potenza o strumenti a un utente malintenzionato rispetto alla tastiera fisica o al mouse collegati al computer in questione?
Le cose diventano un po 'pelose qui. Il tuo nuovo compagno di aeroporto potrebbe anche afferrare e analizzare i tuoi dati fingendo di essere una scheda wireless USB o cercando di eseguire exploit contro il sistema operativo del tuo computer. E infine, la parte più bella dell'exploit, ma anche la parte più interessante per i fan di Android;
L'host USB è bello da giocare. Fare cose inutili e geniali come avere un disco rigido USB da 250 GB collegato al telefono fa parte della cosa divertente di avere un telefono Android. Questi compagni hanno fatto un ulteriore passo avanti e hanno un telefono montato come dispositivo USB sull'altro telefono. So che dovremmo prenderlo sul serio, ma indovina cosa proverò la prossima volta che avrò un po 'di tempo libero?
In tutta serietà, qualsiasi bit di codice che gira da solo e può trasmettere se stesso da una macchina all'altra non è una buona cosa. Ma questo particolare exploit richiede l'accesso fisico a un computer, quindi il suo caso d'uso non è molto ampio. Sta modificando il kernel in esecuzione sul tuo smartphone, quindi sono necessari i privilegi di root per iniettare il codice, e se sei rootato dovresti usare Superuser.apk per avvisarti di ciò quando accade per la prima volta. E poiché è fatto tramite un cavo USB, sei al massimo 3 piedi dalla tastiera e dal mouse attuali. Non lasciare che estranei casuali, coinquilini sciocchi o ex fidanzate usino i tuoi connettori USB e le cose probabilmente andranno bene.
