Dva istraživača sa Sveučilišta George Mason, dr. Angelos Stavrou i Zhaohui Wang, pokazali su sposobnost korištenja pametnog telefona (Nexus One, ali dr. Stavrou kaže da se to odnosi i na iPhone) kao HID (Human Input Device) putem USB-a. Jednostavno rečeno, samo uključivanje telefona u računalo uzrokuje da djeluje kao miš ili tipkovnica, bez poslužitelja na dotičnom računalu i nudi malo ili nikakvo upozorenje na ekranu računala.
Obično bismo tako nešto nazvali cool hack, ali i zastrašujuća strana. Iskorištavanje se može učiniti virusnim, na Windowsima, Mac-u i Linuxu. Prema dr. Stavrou;
" Recite da je vaše računalo kod kuće ugroženo i da kompromitirate svoj Android telefon spajajući ih. Tada, kad god povežete pametni telefon s drugim prijenosnim računarom ili računarskim uređajem, mogu preuzeti i to računalo, a zatim kompromitirati druga računala s tog Androida. To je virusni tip kompromisa pomoću USB kabela."
To je privuklo našu pažnju pa smo posegnuli za dr. Stavrouom, koji je bio ljubazan da odgovori na nekoliko pitanja za nas. Pročitajte ostatak, nakon pauze.
Po čemu se to razlikuje od postojećih aplikacija koje vaš Android pametni telefon pretvaraju u HID putem WiFi, Bluetooth ili USB-a?
Za aplikacije koje preuzmete s tržišta Android za koje se čini da rade isto, zahtijeva se instalacija komponente računala na vaše računalo. Za ovo iskorištavanje nije potreban samo ulaz na računalnoj strani, već se može prenijeti i na glavno računalo, zarazivši ga komponentama potrebnim za kompromitiranje sljedećeg telefona koji priključite. Zamislite kada svoj USB miš uključite u računalo - mali skočni prozor koji ćete vidjeti u programskoj traci (Windows, Mac - Linux zadane zadatke ne daje) sve je upozorenje koje ćete dobiti. Nekoliko sekundi kasnije telefon može upravljati računalom, baš kao što to mogu "prave" periferne jedinice.
Da li vaš rad onemogućuje zaključavanje zaslona na pogođenom računalu?
To je olakšavajuće, ali tip u zračnoj luci koji pita može li napuniti svoj telefon s vašeg prijenosnog računala također bi mogao (teoretski) preuzeti i instalirati nešto gore - poput keyloggera.
Da li ovaj iskorištavač daje više snage ili alata napadaču od fizičke tipkovnice ili miša koji je priključen na predmetno računalo?
Ovdje su stvari pomalo dlakave. Vaš novi prijatelj iz zračne luke također bi mogao zgrabiti i analizirati vaše podatke pretvarajući se da je USB bežična kartica ili pokušava pokrenuti eksploatiranja na vašem računalu. I na kraju, najslađi dio iskorištavanja, ali i ono malo što je najzanimljivije za Android fanove;
USB domaćin se cool igrati. Besmislene, jezive stvari poput spajanja tvrdog diska kapaciteta 250 GB na telefon dio je zabavne zabave s Android telefonom. Ti su ljudi otišli korak dalje i na jednom telefonu su jedan telefon montirani kao USB uređaj. Znam da bismo to trebali shvatiti ozbiljno, ali pogodite što ću pokušati sljedeći put kad imam malo slobodnog vremena?
U ozbiljnosti, nijedan bitni kod koji se pokreće i može se prenositi s jednog stroja na drugi nije dobra stvar. Ali za ovaj posebni podvig morate imati fizički pristup računalu, tako da slučaj uporabe nije jako širok. Modificira pokrenutu jezgru na vašem pametnom telefonu, tako da su potrebne root povlastice za ubacivanje koda, a ako ste ukorijenjeni trebali biste koristiti Superuser.apk da vas upozori na to kada se prvi put dogodi. A budući da se to vrši preko USB kabela, udaljeni ste najviše 3 metra od stvarne tipkovnice i miša. Ne dozvolite slučajnim neznancima, glupim cimerima ili bivšim djevojkama da koriste vaše USB konektore i stvari će vjerojatno biti u redu.
