Du tyrinėtojai iš George'o Masono universiteto, Dr. Angelos Stavrouir Zhaohui Wang, pademonstravo galimybę naudotis išmaniuoju telefonu (a „Nexus One“, bet daktaras Stavrou sako, kad tai galioja „iPhone“ taip pat) kaip HID (žmogaus įvesties įrenginys) per USB. Paprasčiau tariant, tiesiog prijungus telefoną prie kompiuterio, jis veikia kaip pelė ar klaviatūra, o aptariamame kompiuteryje nėra serverio, o kompiuterio ekrane įspėjama mažai arba visai nėra.
Paprastai mes pavadintume kažką panašaus į šį vieną „helluva cool hack“, bet yra ir baisi pusė. Išnaudojimas gali būti virusinis „Windows“, „Mac“ ir „Linux“. Pasak daktaro Stavrou;
"Tarkime, kad jūsų kompiuteris namuose yra pažeistas, o jūs pažeidžiate savo „Android“ telefoną, prijungdami juos, tada, kai tik prijungiate Išmanųjį telefoną į kitą nešiojamąjį kompiuterį ar skaičiavimo įrenginį taip pat galiu perimti tą kompiuterį ir tada pakenkti kitiems kompiuteriams „Android“. Tai yra virusinio tipo kompromisas naudojant USB laidą."
Tai patraukė mūsų dėmesį, todėl kreipėmės į daktarą Stavrou, kuris buvo malonus atsakyti į keletą mums klausimų. Perskaitykite likusius po pertraukos. [CNet]
Kuo tai skiriasi nuo esamų programų, kurios „Android“ išmanųjį telefoną paverčia HID per „WiFi“, „Bluetooth“ ar USB?
Manau, kad jūs turite omenyje „minkštųjų“ HID (t. Y. VNC, „thin-client“) klaviatūrų tipus. Šiuos metodus turi eksportuoti nuotolinis kompiuteris (t. Y. Patvirtinti) ir jie atliekami per tinklą. To negalima padaryti slapta, kaip minėjau, ir tai reikia sukonfigūruoti aukos (nuotoliniame) kompiuteryje.
Norint atsisiųsti iš „Android“ rinkos programas, kurios daro tą patį, jūsų kompiuteryje reikia įdiegti serverio komponentą. Šiam išnaudojimui ne tik nereikia įvesties kompiuterio pusėje, jis taip pat gali perduoti save pagrindiniam kompiuteriui, užkrėsti jį komponentais, reikalingais pakenkti kitam jūsų prijungtam telefonui. Pagalvokite, kai prijungiate USB pelę prie kompiuterio - mažas iššokantis langas, kurį matote sistemos dėkle („Windows“, „Mac“ - „Linux“ pagal nutylėjimą nepraneša), yra visas įspėjimas, kurį gausite. Po kelių sekundžių telefonas gali valdyti kompiuterį, kaip ir „tikrieji“ periferiniai įrenginiai.
Ar jūsų išnaudojimas išjungia ekrano užraktus paveiktame kompiuteryje?
Mūsų požiūris veikia kaip klaviatūra. Jei telefonas yra prijungtas, kai yra ekrano užraktas, mes negalime to išjungti, bet mes galime iš naujo paleisti mašiną (su „ctr-alt-del“), jei tai leidžia ekrano užraktas. Mes netvirtiname, kad galime nulaužti bet kokius slaptažodžius ar ekrano užraktus.
Tai palengvina, tačiau vaikinas oro uoste, kuris klausia, ar jis gali įkrauti telefoną iš jūsų nešiojamojo kompiuterio, taip pat (teoriškai) galėtų atsisiųsti ir įdiegti kažką geresnio, pavyzdžiui, klaviatūros įtaisą.
Ar šis išnaudojimas suteikia užpuolikui daugiau energijos ar įrankių nei fizinė klaviatūra ar pelė, pritvirtinta prie aptariamo kompiuterio?
Ne tuo atveju, jei prijungiate HID įrenginį. Savo pokalbyje paaiškinome, kad galite apsimesti USB „Ethernet“ kortele, gaunančia visą srautą iš aukos mašinos. Be to, galite naudoti klasikinį automatinio paleidimo išpuolį, bet montuokite ir montuokite daug kartų per sekundę, nes valdote nuotolinio tvirtinimo tašką (skirtingai nei „flash“ įrenginys, kuriame turite tik vieną galimybę). Šiuo požiūriu mūsų ataka yra bendresnė, nei tik prijungus HID įrenginį.
Čia viskas pasidaro šiek tiek plaukuota. Naujas jūsų oro uosto bičiulis taip pat gali griebtis ir analizuoti jūsų duomenis apsimetdamas belaidžiu USB korteliu arba bandydamas paleisti išnaudojimus prieš savo kompiuterio OS. Galiausiai, pati šauniausia išnaudojimo dalis, bet ir bitutė, kuri įdomiausia „Android“ gerbėjams;
Galiausiai noriu paminėti, kad mes sukūrėme kabelį, kuris įjungia „Android“ telefoną „priimančiojo“ režimu, leidžiantį jam kaip pagrindiniam kompiuteriui prisijungti prie USB įrenginių, įskaitant kitus telefonus. Ši ataka suteikia užpuolikui galimybę atakuoti telefonu į telefoną.
USB priegloba yra šaunu žaisti. Tai, kad turėsite „Android“ telefoną, yra beprasmiški, įžvalgūs dalykai, pavyzdžiui, prie telefono prijungtas 250 GB USB kietasis diskas. Šie draugai žengė žingsnį toliau, o prie kito telefono vienas telefonas buvo prijungtas kaip USB įrenginys. Žinau, kad į tai turėtume žiūrėti rimtai, bet spėk, ką bandysiu kitą kartą, kai turėsiu šiek tiek laisvo laiko?
Rimtai kalbant, bet koks pats bitų kodas, galintis persiųsti iš vienos mašinos į kitą, nėra geras dalykas. Tačiau norint pasinaudoti šiuo konkrečiu išnaudojimu reikia turėti fizinę prieigą prie kompiuterio, todėl jo naudojimo atvejis nėra labai platus. Tai modifikuoja veikiantį jūsų išmaniojo telefono branduolį, todėl norint įvesti kodą ir, jei taip, reikia root teisių įsišaknijęs turėtumėte naudoti „Superuser.apk“, kad įspėtumėte apie tai, kai tai įvyksta pirmą kartą. Kadangi tai daroma per USB kabelį, jūs esate ne daugiau kaip 3 pėdų atstumu nuo tikrosios klaviatūros ir pelės. Neleiskite atsitiktiniams nepažįstamiems žmonėms, niūriems kambario draugams ar buvusioms draugėms naudoti jūsų USB jungtis, ir viskas tikriausiai bus gerai.
Ar klausėtės šios savaitės „Android Central Podcast“?
Kiekvieną savaitę „Android Central Podcast“ pateikia jums naujausias technikos naujienas, analizę ir naujienas su pažįstamais bendraautoriais ir specialiais svečiais.
- Prenumeruokite „Pocket Cast“: Garsas
- Prenumeruokite „Spotify“: Garsas
- Prenumeruokite „iTunes“: Garsas
Mes galime uždirbti komisinius už pirkinius naudodami savo nuorodas. Sužinokite daugiau.
Tai geriausios belaidės ausinės, kurias galite įsigyti už kiekvieną kainą!
Geriausios belaidės ausinės yra patogios, puikiai skamba, nekainuoja per daug ir lengvai telpa kišenėje.
Viskas, ką reikia žinoti apie PS5: išleidimo data, kaina ir dar daugiau.
„Sony“ oficialiai patvirtino, kad dirba su „PlayStation 5“. Čia yra viskas, ką iki šiol apie tai žinome.
„Nokia“ išleidžia du naujus biudžetinius „Android One“ telefonus, kurių kaina mažesnė nei 200 USD.
„Nokia 2.4“ ir „Nokia 3.4“ yra naujausi „HMD Global“ biudžetinių išmaniųjų telefonų asortimento papildymai. Kadangi jie abu yra „Android One“ įrenginiai, garantuojama, kad jie gaus du pagrindinius OS atnaujinimus ir įprastus saugos atnaujinimus iki trejų metų.
Geriausi nešiojamieji momentinių nuotraukų spausdintuvai, skirti „Android“ įrenginiams.
Jūs esate kelyje ir prisimenate savo mobilųjį telefoną. Nors skaitmeninis yra puikus, kodėl gi nepabandžius šių prisiminimų padaryti šiek tiek nuolatinių apčiuopiama nuotrauka?