Двама изследователи от университета Джордж Мейсън, д-р Ангелос Ставро и Джаохуи Уанг, демонстрираха способността да се използва смартфон (Nexus One, но д-р Ставру казва, че това се отнася и за iPhone) като HID (Human Input Device) чрез USB. Най-просто казано, самото включване на телефона в компютър го кара да действа като мишка или клавиатура, без сървър на въпросния компютър и предлага малко или никакво предупреждение на екрана на компютъра.
Обикновено бихме нарекли нещо подобно един адски хладен хак, но има и страшна страна. Експлоатацията може да бъде вирусна в Windows, Mac и Linux. Според д-р Ставро;
" Кажете, че вашият компютър у дома е компрометиран и компрометирате вашия Android телефон, като ги свързвате. Тогава, когато свържете смартфона към друг лаптоп или компютърно устройство, мога да взема и този компютър и след това да компрометирам други компютри извън този Android. вирусен тип компромиси с помощта на USB кабел."
Това привлече вниманието ни, затова се обърнахме към д-р Ставро, който беше любезен да отговори на няколко въпроса за нас. Прочетете останалото, след почивката.
По какво се различава това от съществуващите приложения, които превръщат вашия смартфон с Android в HID чрез WiFi, Bluetooth или USB?
Приложенията, които изтегляте от пазара на Android, които изглежда правят същото, изискват да инсталирате сървърния компонент на вашия компютър. Този експлоатация не само не се нуждае от вход от страна на компютъра, но също така може да се предаде на хост компютъра, заразявайки го с компонентите, необходими за компрометиране на следващия телефон, който включите. Помислете, когато включите USB мишката си в компютър - малкото изскачащо меню, което виждате в системната област (Windows, Mac - Linux по подразбиране не дава известия), е всичко предупреждение, което ще получите. Няколко секунди по-късно телефонът може да контролира компютъра, точно както могат да го правят "истинските" периферни устройства.
Вашият експлоатация деактивира заключването на екрана на засегнатия компютър?
Това е облекчаващо, но човекът на летището, който пита дали може да зареди телефона си от вашия лаптоп, също би могъл (на теория) да изтегли и инсталира нещо много по-лошо - като keylogger.
Дали този подвиг дава ли повече сила или инструменти на нападател, отколкото физическата клавиатура или мишка, прикрепена към въпросния компютър?
Тук нещата стават малко космати. Вашият нов приятел на летището може също да вземе и анализира вашите данни, като се преструва на USB безжична карта или се опитва да изпълнява експлоатации срещу вашата компютърна операционна система. И накрая, най-готината част от експлоатацията, но и битът, който е най-интересен за феновете на Android;
USB хостът е готин за игра. Правенето на безсмислени, умопомрачителни неща, като например 250 GB USB твърд диск, свързан към телефона ви, е част от забавното нещо да имате телефон с Android. Тези хора стигнаха крачка напред и имат един телефон, монтиран като USB устройство на другия телефон. Знам, че трябва да се заемем с това сериозно, но познайте какво ще опитам следващия път, когато имам малко свободно време?
С цялата сериозност, всеки бит код, който се изпълнява самостоятелно и може да се предава от една машина на друга, не е добро нещо. Но този конкретен подвиг изисква физически достъп до компютър, така че случаят на използване не е много широк. Това променя работещото ядро на вашия смартфон, така че са необходими привилегии на root, за да инжектирате кода, и ако сте вкоренени, трябва да използвате Superuser.apk, за да ви предупреди за това, когато се случи за първи път. И тъй като се извършва през USB кабел, вие сте най-много на 3 фута от действителната клавиатура и мишка. Не позволявайте на случайни непознати, готи съквартиранти или бивши приятелки да използват вашите USB конектори и вероятно нещата ще са наред.
