Urządzenia podpinane pod USB mogą zostać użyte, by niezauważenie wykraść dane z komputera ofiary, nie wzbudzając podejrzeń programów antywirusowych.
Karsten Nohl oraz Jakob Lell z SR Labs poinformowali, że przy wykorzystaniu inżynierii wstecznej udało im się dobrać do oprogramowania sterowników USB i tak spreparować kod firmware , by urządzenia wykonywały polecenia niewidoczne dla większości antywirusów. To otwiera pole do nowych nadużyć, które mogą zostać wykorzystane przez hackerów do wykradzenia poufnych informacji z naszych komputerów.
Luka umożliwia wgranie złośliwego oprogramowania nie tylko do pamięci przenośnych, ale do wszystkich urządzeń USB z niedostatecznie zabezpieczonym firmwarem: myszy, klawiatur, drukarek i całej masy innych urządzeń, których nigdy nie podejrzewalibyśmy o szpiegowanie naszych poczynań. Jeśli hackerowi uda się zmodyfikować firmware takiego sprzętu, niewiele będziemy w stanie zrobić. Jak zauważa Nohl, nawet nie zauważymy, kiedy dojdzie do infekcji.
Aby sprawdzić, jakie bardzo niebezpieczna jest nowa luka, Nohl i Jackob napisali BadUSB, malware wykorzystujący odkrytą lukę. Rezultaty testów okazały się bardzo niepokojące: antywirus nie rozpoznał zmian w firmware podpiętego urządzenia i pozwolił mu zapisywać znaki wpisywane przez użytkownika, nawiązywać zdalne połączenie z innym komputerem w Internecie czy kasować dane użytkownika. Co gorsza, zainfekowany sprzęt może przesłać złośliwy kod do innych urządzeń podpiętych do USB, przyczyniając się do lawinowego rozprzestrzenienia się wirusa na inne komputery.
SR Labs prowadziło badania na kontrolerach od tajwańskiej firmy Phison Electronics Corp., podzespołów tego producenta używa się m. in. w urządzeniach z Androidem. Google i Phison nie odnieśli się na razie do rewelacji Nohla, ale niewykluczone, że także inne kontrolery mogą zostać wykorzystane do przeprowadzenia ataku. Bardzo zbliżone układy produkują również Silicon Motion Technology Corp oraz Alcor Micro Corp., jednak SR Labs nie sprawdzała, czy są one równie łatwe do zainfekowania, co kontrolery Phisona. Nohl przyznał też, że nie zdziwiłby się, gdyby NSA od dawna wiedziała, jak wykorzystać tę lukę. Agencja zapytana o to, odmówiła odpowiedzi.
SR Labs zaprezentuje swoje odkrycia na przyszłotygodniowej konferencji Black Hat w Las Vegas podczas wykładu “BadUSB – On Accessories that Turn Evil.” Kolejny krok w stronę poprawy naszego bezpieczeństwa muszą wykonać firmy zajmujące się bezpieczeństwem oraz producenci kontrolerów USB, którzy niedostatecznie chronią firmware przed ingerencją z zewnątrz. Dopóki nie uda się ustalić, jak bronić się przed atakami BadUSB, lepiej unikać podpinania do nieznanych komputerów jakichkolwiek urządzeń USB.