【充電線別亂用】資安團隊公布暗黑駭客手法,病毒藏 USB 傳輸線一插電腦就中毒

手機快沒電,拿起放在桌上不知道是誰的傳輸線,接上電腦幫手機充電,結果電腦就這麼被駭客攻擊了?

聽起來很玄的情節,其實是現在進行式,關鍵就在於那條看似平凡無奇的 USB 傳輸線。

改造 USB 傳輸線,一接上電腦就會自動輸入指令執行任務

來自中國的資安公司斯圓安全(SYON Security)最近展示了一組攻擊模型,在這個模型中,研究人員竄改了一條 USB 傳輸線上的可程式化控制晶片,並且讓這個條 USB 傳輸線被電腦辨識為人機互動介面(如滑鼠、鍵盤等裝置),進而在電腦中輸入研究人員預先設定好的攻擊指令,達到攻擊目的。

這樣的攻擊手段其實早在 2014 年,就被當時的德國資安廠商 SRLabs 提出,當時該廠商宣稱,可以將各種 USB 介面裝置,換句話說,所有可以使用 USB 介面連接的東西,從小電扇到傳輸線,都可能成為被改造過的入侵工具。

此次斯圓安全所展示的攻擊模型,正是基於上述研究成果發展而來,而且還是進階強化的版本。過往這類針對 USB 傳輸線的改造案例中,一旦該條傳輸線成為人機介面模式準備發動攻擊時,充電功能就會被中斷;而斯圓安全宣稱,他們是目前唯一可以達到,在進行充電的同時執行人機介面攻擊的技術的單位,由於攻擊時並不會讓裝置的充電中斷,因此使用者將更難察覺異狀。

不要亂用線、隨時注意電腦狀態、安裝控管軟體

若是不想受到上述的攻擊影響,首先最重要的還是要養成電腦使用的良好習慣,不任意安接自己不信任或是沒看過的裝置到電腦上;另外,由於此種攻擊中,被篡改的晶片僅是模擬鍵盤輸入,因此在執行攻擊時使用者其實是可以看到攻擊畫面的,若使用者關注自己的電腦時就有機會可以發現攻擊,並即時終止。

最後,若是還有疑慮的使用者,可以考慮安裝市面上可購買的 USB 接孔的管理軟體,相關軟體可有效的控管所有接入的 USB 裝置,並且針對陌生的裝置拒絕授權,避免進一步的損害。

下次,當有人突然說想要跟自己借個電腦 USB 孔充電時,就自己多留點心吧。

─ ─

參考資料來源:
Youtube:USBHarpoon – BadUSB Masquerading as a Charging Cable
iThome: 邪惡 USB 又出現了,只要一條 USB 充電線就能在 PC 上植入惡意程式
斯圓安全創辦人 Vincent Yiu 推特

(本文提供合作夥伴轉載,首圖截圖來源:Youtube。)

更多你會想看的精彩好文

Google 資安團隊駭客列出整排 iOS 漏洞,喊話「我也想領獎金」叫陣蘋果 CEO
駭客示範攻擊心律調節器,能玩死人的系統漏洞廠商竟不修,還表示:安全風險低
你的智慧語音助理鬧鬼了?或許有駭客正在用超音波跟它說「悄悄話」,市面知名品牌全部中獎!


及早將低碳節能的智慧用電納入經營策略,是企業維持永續競爭力的關鍵! 掌握台灣智慧能源管理創新趨勢,強化營運競爭力與成本控管能力 即刻報名》》智慧能源競爭力論壇

點關鍵字看更多相關文章: