Kaks George Masoni ülikooli teadlast, Dr Angelos Stavrouja Zhaohui Wang, on näidanud nutitelefoni kasutamise võimet (a Nexus One, kuid dr Stavrou ütleb, et see kehtib iPhone samuti HID (inimese sisendseade) USB kaudu. Lihtsamalt öeldes põhjustab telefoni lihtsalt arvutiga ühendamine hiire või klaviatuuri funktsiooni, ilma et kõnealuses arvutis oleks serverit, ja see pakub arvutiekraanil vähe või üldse mitte hoiatusi.
Tavaliselt nimetaksime midagi sellist ühte helluva lahedaks häkkimiseks, kuid on ka hirmutav külg. Kasutamise võiks muuta viiruslikuks Windowsis, Macis ja Linuxis. Dr Stavrou sõnul;
"Oletame, et teie kodus olev arvuti on ohustatud ja te ühendate oma Android-telefoni sellega, et ühendate need seejärel nutitelefoni teisele sülearvutile või arvutiseadmele, võin ka selle arvuti üle võtta ja seejärel teisi arvuteid ohustada Android. See on viirusetüüpi kompromiss USB-kaabli abil."
See köitis meie tähelepanu, nii et me pöördusime dr Stavrou poole, kes oli piisavalt lahke, et vastata meile mõnele küsimusele. Lugege ülejäänud osa pärast pausi. [CNet]
Kuidas see erineb olemasolevatest rakendustest, mis muudavad teie Android-nutitelefoni WiFi, Bluetoothi või USB kaudu HID-i?
Ma arvan, et viidate "pehmetele" HID-ide (st VNC, õhuke klient) tüüpi klaviatuuridele. Need lähenemisviisid peab kaugarvuti eksportima (st. Heaks kiitma) ja neid tehakse võrgu kaudu. Seda ei saa vargsi teha, nagu mainisin ja see tuleb konfigureerida ohvri (kaugarvutis).
Android-turult alla laaditud rakendused, mis näivad sama toimivat, nõuavad arvutisse installitud serverkomponenti. See ärakasutamine ei vaja mitte ainult arvutipoolset sisestamist, vaid võib ka ise end hostarvutisse edastada, nakatades selle komponentidega, mis on vajalikud järgmise telefoni ühendamiseks, mille ühendate. Mõelge, kui ühendate USB-hiire arvutisse - väike hoiatus, mida näete süsteemses salves (Windows, Mac - Linux ei anna vaikimisi märguandeid), on kõik hoiatused, mida saate. Mõni sekund hiljem saab telefon arvutit juhtida, nii nagu seda saavad "päris" välisseadmed.
Kas teie ärakasutamine keelab mõjutatud arvuti ekraanilukud?
Meie lähenemine toimib klaviatuurina. Kui telefon on ekraaniluku ajal ühendatud, ei saa me seda keelata, kuid saame seadme taaskäivitada (klahviga Ctr-alt-del), kui see on ekraanilukuga lubatud. Me ei väida, et saaksime mingeid paroole või ekraanilukke häkkida.
See on kergendav, kuid lennujaama tüüp, kes küsib, kas ta saab teie telefoni teie sülearvutist laadida, võiks (teoreetiliselt) ka alla laadida ja installida midagi natuke hullemat - näiteks klahvilogeri.
Kas see ärakasutamine annab ründajale rohkem energiat või tööriistu kui füüsiline klaviatuur või hiir, mis on kõnealuse arvuti külge kinnitatud?
Mitte juhul, kui ühendate HID-seadme. Oma vestluses selgitasime, et võite teeselda, et olete USB-kaardi kaart, mis võtab kogu liikluse ohvrimasinast vastu. Samuti võite kasutada klassikalist autorun-rünnakut, kuid ühendage ja monteerige mitu korda sekundis, kuna kontrollite kaugühenduspunkti (erinevalt mälupulgast, kus teil on ainult üks võimalus). Selles osas on meie rünnak üldisem kui lihtsalt HID-seadme ühendamine.
Siin lähevad asjad veidi karvaseks. Teie uus lennujaama sõber võib ka haarata ja analüüsida teie andmeid, teeseldes end USB-traadita kaardina või proovides oma arvuti operatsioonisüsteemi vastu ekspluateerida. Ja lõpuks, kõige lahedam osa ärakasutamisest, aga ka natuke, mis on Androidi fännidele kõige huvitavam;
Lõpuks tahan mainida, et me lõime kaabli, mis paneb Android-telefoni "host" režiimi, võimaldades sellel ühendada põhiseadmena USB-seadmetega, sealhulgas teiste telefonidega. See rünnak annab ründajale võimaluse telefonilt telefonile rünnakuid sooritada.
USB-hostiga on lahe mängida. Mõttetute ja nipsakate asjade tegemine, näiteks 250 GB USB-kõvaketta ühendamine telefoni külge, on osa Android-telefoni omamisest. Need stipendiaatid on jõudnud sammu edasi ja teise telefoni on üks telefon USB-seadmena paigaldatud. Ma tean, et me peaksime seda tõsiselt võtma, aga arvake ära, mida ma järgmine kord proovin, kui mul natuke vaba aega on?
Täitsa tõsiseltvõetavalt ei ole hea mis tahes kood, mis töötab iseseisvalt ja suudab ennast ühest masinast teise edastada. Kuid see konkreetne ärakasutamine nõuab, et teil oleks arvutile füüsiline juurdepääs, seega pole selle kasutusjuht väga lai. See muudab teie nutitelefonis töötava tuuma muutmist, nii et koodi sisestamiseks ja kui olete, on vaja juurõigusi juurdunud peaksite selle eest hoiatamiseks kasutama Superuser.apk-i, kui see esimest korda juhtub. Ja kuna seda tehakse USB-kaabli kaudu, olete tegelikust klaviatuurist ja hiirest 3 meetri kaugusel. Ärge laske juhuslikel võõrastel, tobedatel toakaaslastel või endistel sõbrannadel teie USB-pistikuid kasutada ja tõenäoliselt on kõik korras.
Kas olete kuulanud selle nädala Android Central Podcasti?
Igal nädalal toob Android Central Podcast teile tuttavad kaassaatejuhid ja erikülalised uusimad tehnoloogiauudised, analüüsid ja kuumad võtted.
- Telli taskuülekanded: Heli
- Telli Spotifys: Heli
- Telli iTunes'is: Heli
Võime teenida komisjonitasu ostude eest, kasutades meie linke. Lisateave.
Need on parimad traadita kõrvaklapid, mida saate osta iga hinnaga!
Parimad traadita kõrvaklapid on mugavad, kõlavad suurepäraselt, ei maksa liiga palju ja sobivad lihtsalt taskusse.
Kõik, mida peate teadma PS5 kohta: väljaandmise kuupäev, hind ja palju muud.
Sony on ametlikult kinnitanud, et töötab PlayStation 5-ga. Siin on kõik, mida me selle kohta siiani teame.
Nokia toob turule kaks uut eelarvelist Android One telefoni, mis on alla 200 dollari.
Nokia 2.4 ja Nokia 3.4 on HMD Globali eelarveliste nutitelefonide valiku viimased täiendused. Kuna mõlemad on Android One seadmed, saavad nad kaks peamist OS-i värskendust ja regulaarset turvavärskendust kuni kolmeks aastaks.
Parimad kaasaskantavad kiirfotoprinterid Android-seadmetele.
Olete liikvel ja teete mälestusi oma mobiilis. Kuigi digitaalne on suurepärane, siis miks mitte proovida neid mälestusi käegakatsutava fotoga veidi püsivamaks muuta?