手機快沒電,拿起放在桌上不知道是誰的傳輸線,接上電腦幫手機充電,結果電腦就這麼被駭客攻擊了?
聽起來很玄的情節,其實是現在進行式,關鍵就在於那條看似平凡無奇的 USB 傳輸線。
改造 USB 傳輸線,一接上電腦就會自動輸入指令執行任務
來自中國的資安公司斯圓安全(SYON Security)最近展示了一組攻擊模型,在這個模型中,研究人員竄改了一條 USB 傳輸線上的可程式化控制晶片,並且讓這個條 USB 傳輸線被電腦辨識為人機互動介面(如滑鼠、鍵盤等裝置),進而在電腦中輸入研究人員預先設定好的攻擊指令,達到攻擊目的。
這樣的攻擊手段其實早在 2014 年,就被當時的德國資安廠商 SRLabs 提出,當時該廠商宣稱,可以將各種 USB 介面裝置,換句話說,所有可以使用 USB 介面連接的東西,從小電扇到傳輸線,都可能成為被改造過的入侵工具。
此次斯圓安全所展示的攻擊模型,正是基於上述研究成果發展而來,而且還是進階強化的版本。過往這類針對 USB 傳輸線的改造案例中,一旦該條傳輸線成為人機介面模式準備發動攻擊時,充電功能就會被中斷;而斯圓安全宣稱,他們是目前唯一可以達到,在進行充電的同時執行人機介面攻擊的技術的單位,由於攻擊時並不會讓裝置的充電中斷,因此使用者將更難察覺異狀。
不要亂用線、隨時注意電腦狀態、安裝控管軟體
若是不想受到上述的攻擊影響,首先最重要的還是要養成電腦使用的良好習慣,不任意安接自己不信任或是沒看過的裝置到電腦上;另外,由於此種攻擊中,被篡改的晶片僅是模擬鍵盤輸入,因此在執行攻擊時使用者其實是可以看到攻擊畫面的,若使用者關注自己的電腦時就有機會可以發現攻擊,並即時終止。
最後,若是還有疑慮的使用者,可以考慮安裝市面上可購買的 USB 接孔的管理軟體,相關軟體可有效的控管所有接入的 USB 裝置,並且針對陌生的裝置拒絕授權,避免進一步的損害。
下次,當有人突然說想要跟自己借個電腦 USB 孔充電時,就自己多留點心吧。
─ ─
參考資料來源:
Youtube:USBHarpoon – BadUSB Masquerading as a Charging Cable
iThome:邪惡USB又出現了,只要一條USB充電線就能在PC上植入惡意程式
斯圓安全創辦人 Vincent Yiu 推特
(本文提供合作夥伴轉載,首圖截圖來源:Youtube。)
更多你會想看的精彩好文
Google 資安團隊駭客列出整排 iOS 漏洞,喊話「我也想領獎金」叫陣蘋果 CEO
駭客示範攻擊心律調節器,能玩死人的系統漏洞廠商竟不修,還表示:安全風險低
你的智慧語音助理鬧鬼了?或許有駭客正在用超音波跟它說「悄悄話」,市面知名品牌全部中獎!
