Miért kell vigyázni az USB kábelekkel?

A George Mason University egyik társprofesszora nemrég igen érdekes felfedezést tett az univerzális soros buszokkal kapcsolatban. Angelos Stavrou egy diákjával, Zhaohui Wanggal közösen olyan szoftvert írt, mellyel megváltoztatható az USB drivere, így akár váratlan támadást is lehet indítani valaki ellen, aki gyanútlanul feltölti telefonját vagy adatokat szinkronizál számítógépről.

Alapvetően arról van szó, hogy a megfelelő ismeretek birtokában billentyűzet/egér funkcionalitással lehet felruházni az USB kábelen keresztül létrejött kapcsolatot, ennek révén pedig a támadó parancsokat írhat be vagy egérműveleteket végezhet. Ezáltal állományokat lophat el a céleszközről, más digitális kártevőket tölthet fel a gyanútlan tulajdonos kommunikációs készülékébe, átveheti a számítógép felett az ellenőrzést stb. Minderre azért nyílik lehetőség, mert az USB protokoll autentikáció nélkül kínál lehetőséget az elektronikus eszközök csatlakoztatására.

^{Angelos Stavrou bemutatója – egy sikeres támadás USB kábelen keresztül}

A tanár és a diák által írt program először azt azonosítja be, milyen operációs rendszerrel van dolga. Macintosh vagy Windows számítógépen ilyenkor felugrik egy figyelemfelhívó üzenet, mely arról tájékoztatja a monitor előtt ülőt, hogy új beviteli eszközt (human interface device) érzékelt az OS. Hiába azonban az értesítés, a telepítést nem olyan könnyű megakadályozni, a laikusok számára pedig fel sem tűnik a dolog. Ráadásul Mac alatt egy speciális paranccsal azonnal el is tüntethető az üzenet, így például egy Apple laptop esetében még ennyi támpontja sem lesz a gyanútlan felhasználónak. Windows alatt csak néhány másodpercig látható, a System Tray-ből nyílóan, míg linuxos környezetben semmilyen üzenetet nem kapunk.

Egyelőre csak Androidra készítették el a hiba kihasználását lehetővé tevő alkalmazást, de Stavrou szerint iPhone esetében is működhet a dolog. „Gyakorlatilag bármilyen számítógépes eszköznél létezik a támadási felület, ami USB-t használ.” – summázta a professzor. Az antivírus alkalmazások ráadásul nem is feltétlenül állítják meg, mivel nem tudják megállapítani, hogy a történtek valós felhasználói beavatkozás eredményeként következtek be; Stavrou szerint nehéz meghatározni, mi minősül „jó” és „rossz” viselkedésnek.

Jelenleg nem sokat lehet tenni egy ilyen támadás automatizált elkerüléséért.