Dva istraživača sa Sveučilišta George Mason, Dr. Angelos Stavrou, i Zhaohui Wang, pokazali su sposobnost korištenja pametnog telefona (a Nexus jedan, ali dr. Stavrou kaže da se to odnosi na iPhone kao i) kao HID (Ulazni uređaj za ljude) putem USB-a. Jednostavno rečeno, samo uključivanje telefona u računalo uzrokuje da djeluje kao miš ili tipkovnica, bez poslužitelja na dotičnom računalu, a na zaslonu računala nudi malo ili nimalo upozorenja.
Obično nazvali bismo nešto poput ovog jedan helluva cool hack, ali postoji i zastrašujuća strana. Ekploit bi se mogao učiniti virusnim, na sustavima Windows, Mac i Linux. Prema dr. Stavrou;
"Recimo da je vaše računalo kod kuće ugroženo i da ugrožavate svoj Android telefon tako što ga povežete. Zatim, kad god povežete pametni telefon na drugo prijenosno računalo ili računarski uređaj, mogu preuzeti i to računalo, a zatim ugroziti druga računala s toga Android. To je virusni tip kompromisa koji koristi USB kabel."
To nam je privuklo pažnju, pa smo se obratili dr. Stavrouu, koji nam je bio ljubazan odgovoriti na nekoliko pitanja. Pročitajte ostalo, nakon pauze. [CNet]
Kako se to razlikuje od postojećih aplikacija koje vaš Android pametni telefon pretvaraju u HID putem WiFi-ja, Bluetootha ili USB-a?
Mislim da se pozivate na tipkovnice "mekih" HID-ova (tj. VNC, tanki klijent). Te pristupe mora izvesti udaljeno računalo (tj. Odobriti) i obavljaju se putem mreže. To se ne može učiniti potajno, kao što sam spomenuo, već mora biti konfigurirano na žrtvinom (udaljenom) računalu.
Za aplikacije koje preuzmete s Android tržišta, a čini se da rade isto, potrebna je komponenta poslužitelja koja mora biti instalirana na vaše računalo. Ovoj eksploataciji ne samo da nije potreban unos na računalu, već se također može proslijediti glavnom računalu, zaražavajući ga komponentama potrebnim za ugrožavanje sljedećeg telefona koji priključite.. Razmislite kad USB miš uključite u računalo - mali skočni prozor koji vidite u sistemskoj paleti (Windows, Mac - Linux prema zadanim postavkama ne daje obavijest) sve je upozorenje koje ćete dobiti. Nekoliko sekundi kasnije telefon može upravljati računalom, baš kao što to mogu "stvarne" periferne uređaje.
Onemogućuje li vaš exploit zaključavanje zaslona na pogođenom računalu?
Naš pristup djeluje kao tipkovnica. Ako je telefon povezan dok je zaključan zaslon, to ne možemo onemogućiti, ali možemo ponovno pokrenuti uređaj (pomoću ctr-alt-del) ako to zaključavanje zaslona dopušta. Ne tvrdimo da možemo provaliti lozinke ili zaključavanje zaslona.
To olakšava, ali tip iz zračne luke koji pita može li svoj telefon napuniti s vašeg prijenosnog računala također bi mogao (u teoriji) preuzeti i instalirati nešto malo gore - poput keyloggera.
Daje li ovo iskorištavanje napadaču više snage ili alata od fizičke tipkovnice ili miša koji su pričvršćeni na dotično računalo?
Ne u slučaju da spojite HID uređaj. U našem smo razgovoru objasnili da se možete pretvarati da ste USB ethernet kartica koja prima sav promet sa žrtvinog stroja. Također, možete koristiti klasični napad automatskog pokretanja, ali montirati i ponovno montirati mnogo puta u sekundi jer kontrolirate daljinsku točku montiranja (za razliku od flash pogona gdje imate samo jednu priliku). U tom je pogledu naš napad općenitiji od pukog uključivanja HID uređaja.
Stvari ovdje postaju malo dlakave. Vaš novi prijatelj iz zračne luke također može grabiti i analizirati vaše podatke pretvarajući se da je USB bežična kartica ili pokušavajući pokrenuti exploite protiv OS-a vašeg računala. I na kraju, najhladniji dio exploita, ali i dio koji je najzanimljiviji ljubiteljima Androida;
Na kraju, želim napomenuti da smo izradili kabel koji Android telefon stavlja u "host" način rada omogućavajući mu da se kao glavni poveže s USB uređajima, uključujući i druge telefone. Ovaj napad osnažuje napadača da izvrši napade telefon-na-telefon.
USB domaćin je super za igrati. Raditi besmislene, štreberske stvari kao što je priključivanje USB tvrdog diska od 250 GB na telefon dio je zabavne stvari s Android telefonom. Ovi su momci otišli korak dalje i na drugom telefonu jedan telefon postavili kao USB uređaj. Znam da bismo ovo trebali shvatiti ozbiljno, ali pogodite što ću isprobati sljedeći put kad budem imao malo slobodnog vremena?
Ozbiljno, bilo koji dio koda koji se samostalno pokreće i može se prenijeti s jednog stroja na drugi nije dobra stvar. Ali za ovo posebno iskorištavanje potreban vam je fizički pristup računalu, pa je slučaj upotrebe vrlo širok. Izmjenjuje pokrenutu jezgru na vašem pametnom telefonu, pa su potrebne root privilegije za ubrizgavanje koda i ako jeste ukorijenjen trebali biste upotrijebiti Superuser.apk da biste vas upozorili na to kad se to prvi put dogodi. A budući da se radi putem USB kabela, udaljeni ste najviše 3 metra od stvarne tipkovnice i miša. Ne dopustite slučajnim strancima, glupim sustanarima ili bivšim djevojkama da koriste vaše USB konektore i stvari će vjerojatno biti u redu.
Jeste li slušali ovotjedni Android Central Podcast?
Svaki tjedan Android Central Podcast donosi vam najnovije tehnološke vijesti, analize i popularne snimke, uz poznate suvoditelje i posebne goste.
- Pretplatite se na Pocket Casts: Audio
- Pretplatite se na Spotify: Audio
- Pretplatite se na iTunes: Audio
Možemo zaraditi proviziju za kupnju koristeći naše poveznice. Saznajte više.
Ovo su najbolje bežične slušalice koje možete kupiti po svakoj cijeni!
Najbolje bežične slušalice su udobne, zvuče sjajno, ne koštaju previše i lako se stave u džep.
Sve što trebate znati o PS5: Datum izlaska, cijena i još mnogo toga.
Sony je službeno potvrdio da radi na PlayStationu 5. Evo svega što o tome zasad znamo.
Nokia lansira dva nova proračunska Android One telefona ispod 200 dolara.
Nokia 2.4 i Nokia 3.4 najnoviji su dodaci proračunskoj liniji pametnih telefona tvrtke HMD Global. Budući da su oba Android One uređaja, zajamčeno će dobiti dva glavna ažuriranja OS-a i redovita sigurnosna ažuriranja do tri godine.
Najbolji prijenosni instant foto pisači za Android uređaje.
U pokretu ste i stvarate uspomene na mobitelu. Iako je digital super, zašto ne biste pokušali te uspomene učiniti malo trajnijima opipljivom fotografijom?