Hacker ukázal, jak může kabel USB-C sledovat uživatele a ohrožovat bezpečnost
9.12.2024, Milan Šurkala, aktualita
Několik let po aféře BadUSB se opět objevuje varování nad možnou škodlivostí kabelů USB. Jak ukázaly kabely Thunderbolt od Applu, vevnitř se může skrývat komplexní elektronika. Tu je ale možné obecně u kabelů i zneužít.
Je to už mnoho let, kdy světem zacloumala kauza BadUSB, která varovala nad možným zneužitím USB zařízení k útoku na počítače. Nyní se něco podobného dostává do popředí znovu. Celé to tak trochu odstartoval Apple, který si za svůj kabel Thunderbolt 4 účtuje 129 USD. Otázkou bylo, jak se vlastně liší od běžných USB kabelů za 5 USD. Na serveru LumaField ho tak vzali pod CT skener a zjistili, že kabel od Applu je úplně jinou ligou. Jednak podporuje vyšší rychlosti, jednak je ale i vevnitř mnohem komplexnější. V konektoru našli 10vrstvé PCB, využívá všech drátů (pinů), zajišťuje i stejnou délku všech drátů tak, aby byla zajištěna stabilní vysoká rychlost. Autoři testu ho označili za ohromující kousek přesného inženýrství. Kabel od Amazonu za desetinu ceny měl sice stále PCB, ale mnohem jednodušší, a levnější kabel za necelých 6 USD dokonce neměl ani to. Pouhé čtyři z osmi pinů byly natvrdo zapojeny bez jakýchkoli obvodů. Není tedy kabel jako kabel. Jenže právě PCB a čipy na kabelu Applu vzbudily otázku, co se tady vlastně děje, resp. co se zde může dít.
Bezpečnostní výzkumník a etický hacker Mike Grover (znám také jako MG) se na problematiku podíval podrobněji a vytvořil svůj vlastní kabel O.MG. Ten obsahuje čip, který má pod sebou další malý mikroprocesor, jenž ukazuje, že je zde snadná možnost implantovat škodlivý kód do prostoru zdánlivě nevinného USB kabelu a zneužít ho např. k monitorování dat uživatelů i jejich modifikaci (např. dat z klávesnice nebo myši). Demonstroval také to, že druhý čip byl standardními skenovacími metodami v podstatě neodhalitelný a nepříliš nápadný byl i s pomocí použitých 3D skenů. Co ale bylo jasně vidět, byla bezdrátová 2,4GHz anténa pro zasílání dat ven. Tyto ručně vyráběné USB kabely nabízí pro bezpečnostní týmy ve firmách (red teaming), bezpečnostní výzkumníky a podobně. Verze Basic je k mání za 120 USD, verze Elite pak za 180-200 USD dle verze.
Zdroj: techspot.com, lumafield.com