שני חוקרים מאוניברסיטת ג'ורג 'מייסון, ד"ר אנג'לוס סברואה וז'וחוי וואנג, הדגימו את היכולת להשתמש בסמארטפון (Nexus One, אך ד"ר סטברו אומר שזה תקף גם לאייפון) כ- HID (מכשיר קלט אנושי) באמצעות USB. במילים פשוטות, פשוט חיבור הטלפון למחשב גורם לו לפעול כעכבר או מקלדת, ללא שרת במחשב המדובר, ומציע מעט אזהרה או מעט על מסך המחשב.
בדרך כלל היינו קוראים למשהו כזה גרזן מדליק אחד, אבל יש גם צד מפחיד. הניצול יכול להיות ויראלי, ב- Windows, Mac ו- Linux. לדברי ד"ר סטברואה;
" נניח שהמחשב שלך בבית נפגע ואתה מתפשר על הטלפון אנדרואיד שלך על ידי חיבור אותם. ואז, בכל פעם שאתה מחבר את הסמארטפון למחשב נייד אחר או מכשיר מחשוב אחר, אני יכול גם להשתלט על מחשב זה ואז להתפשר על מחשבים אחרים מהאנדרואיד הזה. סוג ויראלי של פשרה באמצעות כבל ה- USB."
זה משך את תשומת ליבנו, אז הושטנו יד אל ד"ר סטברו, שהיה חביב דיו לענות על כמה שאלות עבורנו. קרא את השאר, אחרי ההפסקה.
במה זה שונה מיישומים קיימים שהופכים את הטלפון החכם אנדרואיד שלך ל- HID באמצעות WiFi, Bluetooth או USB?
אפליקציות שאתה מוריד משוק אנדרואיד שנראות שעושות את אותו הדבר, מחייבות התקנה של רכיב שרת במחשב שלך. ניצול זה לא רק שאינו זקוק לקלט בצד המחשב, הוא גם יכול להעביר את עצמו למחשב המארח, ולהדביק אותו ברכיבים הדרושים כדי להתפשר על הטלפון הבא שאתה מחבר אליו.. תחשוב כשאתה מחבר את עכבר ה- USB שלך ל- מחשב - הקופץ הקטן שאתה רואה במגש המערכת (Windows, Mac - Linux לא נותן שום התראה כברירת מחדל) הוא כל האזהרה שתקבל. כמה שניות לאחר מכן הטלפון יכול לשלוט במחשב, בדיוק כמו שהציוד היקפי "האמיתי" יכול.
האם הניצול שלך משבית נעילת מסך במחשב המושפע?
זה מקלה, אבל הבחור בשדה התעופה ששואל אם הוא יכול לטעון את הטלפון שלו מהמחשב הנייד שלך יכול גם (בתיאוריה) להוריד ולהתקין משהו קצת יותר גרוע - כמו keylogger.
האם ניצול זה נותן כוח או כלים יותר לתוקף מאשר למקלדת או לעכבר הפיזיים המחוברים למחשב המדובר?
הדברים נעשים מעט שעירים כאן. חברך לשדה התעופה החדש יכול גם לתפוס ולנתח את הנתונים שלך על ידי התחזות לכרטיס אלחוטי USB, או ניסיון להפעיל מעלליו נגד מערכת ההפעלה של המחשב שלך. ולבסוף, החלק הכי מגניב במנצל, אבל גם את הקטע המעניין ביותר עבור מעריצי אנדרואיד;
מארח USB מגניב לשחק איתו. לעשות דברים חסרי טעם וחנון כמו כונן USB קשיח של 250 ג'יגה-בתים המחובר לטלפון שלך הוא חלק מהדבר המהנה שיש טלפון אנדרואיד. העמיתים האלו התקדמו צעד אחד קדימה וטלפון אחד מותקן כמכשיר USB בטלפון השני. אני יודע שאנחנו אמורים להתייחס לזה ברצינות, אבל נחשו מה אני אנסה בפעם הבאה שיהיה לי קצת זמן פנוי?
במלוא הרצינות, כל פיסת קוד הפועלת בכוחות עצמה ויכולה להעביר את עצמה ממכונה אחת לאחרת אינה דבר טוב. אבל ניצול מסוים זה מחייב שתהיה לך גישה פיזית למחשב, כך שמקרה השימוש בו אינו רחב במיוחד. זה שינוי גרעין הריצה בסמארטפון שלך, כך שיש צורך בהרשאות שורש כדי להזרים את הקוד, ואם אתה מושרש, עליך להשתמש ב- Superuser.apk כדי להזהיר אותך על כך כשזה קורה לראשונה. ומכיוון שהוא מתבצע באמצעות כבל USB, אתה מקסימום 3 מטרים מהמקלדת והעכבר. אל תתנו לזרים אקראיים, שותפים לחדר דבילים או חברות לשעבר להשתמש במחברי ה- USB שלכם, וכנראה שהדברים יהיו בסדר.
