Due ricercatori della George Mason University, Dr. Angelos Stavrou, e Zhaohui Wang, hanno dimostrato di saper utilizzare uno smartphone (a Nexus One, ma il dottor Stavrou dice che questo vale per il i phone anche) come HID (Human Input Device) tramite USB. In poche parole, il semplice collegamento del telefono a un computer fa sì che funzioni come un mouse o una tastiera, senza server sul computer in questione e offre pochi o nessun avviso sullo schermo del computer.
Generalmente chiameremmo qualcosa di simile a questo uno helluva cool hack, ma c'è anche un lato spaventoso. L'exploit potrebbe essere virale, su Windows, Mac e Linux. Secondo il dottor Stavrou;
"Supponiamo che il tuo computer a casa sia compromesso e che tu abbia compromesso il tuo telefono Android collegandoli, quindi, ogni volta che colleghi il smartphone su un altro laptop o dispositivo informatico Posso anche prendere il controllo di quel computer e quindi compromettere altri computer Android. È un tipo virale di compromesso utilizzando il cavo USB."
Questo ha attirato la nostra attenzione, quindi abbiamo contattato il dottor Stavrou, che è stato così gentile da rispondere ad alcune domande per noi. Leggi il resto, dopo la pausa. [CNet]
In cosa differisce dalle applicazioni esistenti che trasformano il tuo smartphone Android in un HID tramite WiFi, Bluetooth o USB?
Penso che ti riferisca al tipo di tastiere HID "soft" (cioè VNC, thin-client). Questi approcci devono essere esportati dal computer remoto (cioè approvati) e vengono eseguiti sulla rete. Questo non può essere fatto di nascosto come ho detto e deve essere configurato nel computer della vittima (remoto).
Le applicazioni scaricate dal mercato Android che sembrano fare la stessa cosa, richiedono che un componente server sia installato sul tuo computer. Questo exploit non solo non necessita di input dal computer, ma può anche trasmettersi al computer host, infettandolo con i componenti necessari per compromettere il prossimo telefono che colleghi. Pensa quando colleghi il tuo mouse USB a un computer: il piccolo pop-up che vedi nella barra delle applicazioni (Windows, Mac - Linux non fornisce alcuna notifica per impostazione predefinita) è tutto l'avvertimento che riceverai. Pochi secondi dopo il telefono può controllare il computer, proprio come fanno le "vere" periferiche.
Il tuo exploit disabilita i blocchi dello schermo sul computer interessato?
Il nostro approccio funge da tastiera. Se il telefono è connesso mentre è presente un blocco schermo, non possiamo disabilitarlo ma possiamo riavviare la macchina (con ctr-alt-del) se questo è consentito dal blocco schermo. Non pretendiamo di poter violare alcuna password o blocco dello schermo.
Questo è sollievo, ma il ragazzo all'aeroporto che chiede se può caricare il suo telefono dal tuo laptop potrebbe anche (in teoria) scaricare e installare qualcosa di un po 'peggiore, come un keylogger.
Questo exploit fornisce più potere o strumenti a un utente malintenzionato rispetto alla tastiera o al mouse fisici collegati al computer in questione?
Non nel caso in cui colleghi un dispositivo HID. Nel nostro intervento, abbiamo spiegato che puoi fingere di essere una scheda ethernet USB che riceve tutto il traffico dalla macchina vittima. Inoltre, puoi utilizzare il classico attacco di esecuzione automatica ma montare e rimontare molte volte al secondo perché controlli il punto di montaggio remoto (a differenza di un'unità flash in cui hai solo una possibilità). A questo proposito, il nostro attacco è più generale del semplice collegamento di un dispositivo HID.
Le cose si fanno un po 'complicate qui. Il tuo nuovo compagno di aeroporto potrebbe anche afferrare e analizzare i tuoi dati fingendo di essere una scheda wireless USB o cercando di eseguire exploit contro il sistema operativo del tuo computer. E infine, la parte più interessante dell'exploit, ma anche quella più interessante per i fan di Android;
Infine, voglio ricordare che abbiamo realizzato un cavo che mette il telefono Android in modalità "host" permettendogli di essere in grado di connettersi come master a dispositivi USB inclusi altri telefoni. Questo attacco consente a un utente malintenzionato di eseguire attacchi da telefono a telefono.
L'host USB è fantastico con cui giocare. Fare cose inutili e geniali come avere un disco rigido USB da 250 GB collegato al telefono fa parte della cosa divertente di avere un telefono Android. Questi ragazzi sono andati oltre e hanno montato un telefono come dispositivo USB sull'altro telefono. So che dovremmo prenderlo sul serio, ma indovina cosa proverò la prossima volta che avrò un po 'di tempo libero?
In tutta serietà, qualsiasi bit di codice che gira da solo e può trasmettersi da una macchina all'altra non è una buona cosa. Ma questo particolare exploit richiede di avere accesso fisico a un computer, quindi il suo caso d'uso non è molto ampio. Sta modificando il kernel in esecuzione sul tuo smartphone, quindi i privilegi di root sono necessari per iniettare il codice, e se lo sei radicato dovresti usare Superuser.apk per avvisarti di questo quando accade per la prima volta. E poiché viene eseguito tramite un cavo USB, sei al massimo a 3 piedi dalla tastiera e dal mouse effettivi. Non lasciare che sconosciuti casuali, coinquilini sciocchi o ex fidanzate usino i tuoi connettori USB, e le cose probabilmente andranno bene.
Hai ascoltato il podcast Android Central di questa settimana?
Ogni settimana, Android Central Podcast ti offre le ultime notizie tecnologiche, analisi e hot take, con co-host familiari e ospiti speciali.
- Iscriviti in Pocket Casts: Audio
- Iscriviti su Spotify: Audio
- Iscriviti in iTunes: Audio
Potremmo guadagnare una commissione per gli acquisti utilizzando i nostri link. Per saperne di più.
Questi sono i migliori auricolari wireless che puoi acquistare ad ogni prezzo!
I migliori auricolari wireless sono comodi, hanno un suono eccezionale, non costano troppo e stanno facilmente in tasca.
Tutto ciò che devi sapere sulla PS5: data di uscita, prezzo e altro ancora.
Sony ha ufficialmente confermato che sta lavorando su PlayStation 5. Ecco tutto ciò che sappiamo finora.
Nokia lancia due nuovi telefoni Android One economici a meno di $ 200.
Nokia 2.4 e Nokia 3.4 sono le ultime aggiunte alla gamma di smartphone economici di HMD Global. Poiché sono entrambi dispositivi Android One, è garantito che riceveranno due importanti aggiornamenti del sistema operativo e aggiornamenti di sicurezza regolari per un massimo di tre anni.
Le migliori stampanti fotografiche istantanee portatili per dispositivi Android.
Sei in movimento e crei ricordi sul tuo telefonino. Anche se il digitale è fantastico, perché non provare a rendere quei ricordi un po 'più permanenti con una foto tangibile?