【充電線別亂用】資安團隊公布暗黑駭客手法,病毒藏 USB 傳輸線一插電腦就中毒

手機快沒電,拿起放在桌上不知道是誰的傳輸線,接上電腦幫手機充電,結果電腦就這麼被駭客攻擊了?

聽起來很玄的情節,其實是現在進行式,關鍵就在於那條看似平凡無奇的 USB 傳輸線。

改造 USB 傳輸線,一接上電腦就會自動輸入指令執行任務

來自中國的資安公司斯圓安全(SYON Security)最近展示了一組攻擊模型,在這個模型中,研究人員竄改了一條 USB 傳輸線上的可程式化控制晶片,並且讓這個條 USB 傳輸線被電腦辨識為人機互動介面(如滑鼠、鍵盤等裝置),進而在電腦中輸入研究人員預先設定好的攻擊指令,達到攻擊目的。

這樣的攻擊手段其實早在 2014 年,就被當時的德國資安廠商 SRLabs 提出,當時該廠商宣稱,可以將各種 USB 介面裝置,換句話說,所有可以使用 USB 介面連接的東西,從小電扇到傳輸線,都可能成為被改造過的入侵工具。

此次斯圓安全所展示的攻擊模型,正是基於上述研究成果發展而來,而且還是進階強化的版本。過往這類針對 USB 傳輸線的改造案例中,一旦該條傳輸線成為人機介面模式準備發動攻擊時,充電功能就會被中斷;而斯圓安全宣稱,他們是目前唯一可以達到,在進行充電的同時執行人機介面攻擊的技術的單位,由於攻擊時並不會讓裝置的充電中斷,因此使用者將更難察覺異狀。

不要亂用線、隨時注意電腦狀態、安裝控管軟體

若是不想受到上述的攻擊影響,首先最重要的還是要養成電腦使用的良好習慣,不任意安接自己不信任或是沒看過的裝置到電腦上;另外,由於此種攻擊中,被篡改的晶片僅是模擬鍵盤輸入,因此在執行攻擊時使用者其實是可以看到攻擊畫面的,若使用者關注自己的電腦時就有機會可以發現攻擊,並即時終止。

最後,若是還有疑慮的使用者,可以考慮安裝市面上可購買的 USB 接孔的管理軟體,相關軟體可有效的控管所有接入的 USB 裝置,並且針對陌生的裝置拒絕授權,避免進一步的損害。

下次,當有人突然說想要跟自己借個電腦 USB 孔充電時,就自己多留點心吧。

─ ─

參考資料來源:
Youtube:USBHarpoon – BadUSB Masquerading as a Charging Cable
iThome: 邪惡 USB 又出現了,只要一條 USB 充電線就能在 PC 上植入惡意程式
斯圓安全創辦人 Vincent Yiu 推特

(本文提供合作夥伴轉載,首圖截圖來源:Youtube。)

更多你會想看的精彩好文

Google 資安團隊駭客列出整排 iOS 漏洞,喊話「我也想領獎金」叫陣蘋果 CEO
駭客示範攻擊心律調節器,能玩死人的系統漏洞廠商竟不修,還表示:安全風險低
你的智慧語音助理鬧鬼了?或許有駭客正在用超音波跟它說「悄悄話」,市面知名品牌全部中獎!


《我們熱情徵採訪社群編輯、助理編輯》

2019 年是我們團隊大舉擴張的一年,希望找到跟我們一樣有夢想的夥伴加入

採訪社群編輯

1. 觀測科技議題,並進行採訪、編輯、編譯、包裝等日常編輯工作 2. 和團隊一起發想新聞主題、策劃與執行社群活動 3. 監測、分析網路數據流量 4. 目標導向思考,對準目標、彈性工作 5. 喜歡變動性高的工作環境、追求效率、抗壓性強,樂於發問、喜歡主動溝通 6. 加分特質一:英文成績多益 750(或同等托福、雅思成績)以上,英文閱讀無礙 7. 加分特質二:具 1-2 年網路社群相關工作經驗 月薪:30,000-40,000

助理編輯

1. 根據團隊工作目標,執行日常編務 2. 即時社群經營操作 3. 編輯檯營運工作支援 4. 社群經營專案工作支援 5. 無相關工作經驗可,亦歡迎社會新鮮人應徵 6. 根據個人與團隊工作目標,表現優異者,具升遷社群編輯的機會 *薪資範圍:月薪 28,000 – 32,000

應徵方式

意者請提供履歷自傳以及「相關文字作品」,寄至 [email protected]。來信主旨請註明:【應徵】TechOrange 採訪社群/助理編輯:您的大名

點關鍵字看更多相關文章: