把USB线插到你的电脑上似乎是一件无害的事情。但如果电缆是由黑客制作的,那就不是了。
周日,安全研究员迈克·格罗弗说道证明了(在新窗口中打开)他们制造了一种恶意的USB线,可以从附近的智能手机接收命令,然后在插入的电脑上执行命令。
他的usb转闪电电缆看起来很普通,但格罗弗实际上在其中一个插座里安装了一个Wi-Fi芯片。毫无戒心的用户会认为他们只是把一根简单的线插入了自己的电脑。但实际上,计算机会将电缆检测为人机界面设备类似于鼠标或键盘。
格罗弗上传了一段视频,展示了袭击的过程。在视频中,他将网线插入MacBook电脑。然后,他用智能手机远程触发笔记本电脑访问一个恶意的谷歌登录网页,该网页可以秘密收集用户的密码。
你喜欢在你的恶意USB线里安装wifi吗?
- _mg_ (@_mg_)2019年2月10日(在新窗口中打开)
O•MG电缆
(攻击性MG套件)https://t.co/Pkv9pQrmHt(在新窗口中打开)
这是一种学习新技能的有趣方式。
没有帮助是不可能的:@d3d0c3d(在新窗口中打开),@cnlohr(在新窗口中打开),@IanColdwater(在新窗口中打开),@hook_s3c(在新窗口中打开),@exploit_agency(在新窗口中打开)# OMGCable(在新窗口中打开)pic.twitter.com/isQfMKHYQR(在新窗口中打开)
格罗弗在推特上接受采访时表示,他开发的USB电缆攻击方法适用于Windows、Mac、Linux和iOS系统。攻击者所要做的就是哄骗受害者插上电线。
“它就像锁屏时的键盘和鼠标一样‘工作’。你可以打字和移动鼠标,”格罗弗说。如果你拿到了密码,你就可以解锁机器。”同样的电缆还可以通过模拟光标的微小移动来防止受影响的设备重新进入睡眠状态。
此外,恶意的USB电缆不仅可以连接到附近的智能手机,还可以连接到网络,如Wi-Fi或蜂窝热点。这样做可以扩大攻击的范围。
为了开发这种电缆,格罗弗使用了一台950美元的数控铣床,将Wi-Fi芯片封装在电缆的usb端。他现在计划生产更多的恶意USB电缆并将其出售。但他的目标不是制造混乱。
“以吸引人的方式展示攻击可以让更多的观众意识到威胁,”他告诉PCMag。“将这条电缆交到其他研究人员手中,可以探索新的用途和攻击。最终,它会提高安全性。”
格罗弗是安全研究人员之一,他们多年来开发了演示,展示了usb式攻击的危险。例如,u盘可以秘密包含恶意软件。一家总部位于香港的公司甚至做到了创建(在新窗口中打开)一个USB驱动器,可能会损坏那些没有足够电涌保护的电脑。
格罗弗的新攻击提醒人们要小心那些来源不明的USB外设。为了保护自己,你可以考虑买一个USB避孕套(在新窗口中打开)该设备只允许连接的USB电缆或设备与计算机交换电源,而不是数据。
“有一些工具可以在插入新的USB设备时提醒你,甚至阻止新设备。但它并没有默认内置到操作系统中。很高兴看到这一点,”格罗弗补充道。
目前,他还不确定他的恶意USB数据线要花多少钱。但格罗弗告诉PCMag,“试图盈利并不是我的首要任务。我宁愿把它交到每个做安保工作的人手里。”