圖片來源: 

Vincent Yiu

斯圓安全(SYON Security)本周對外展示了一個以USB充電線當作攻擊媒介的USBHarpoon裝置,在連上電腦之後,它能變身為人機介面,可輸入必要的快捷鍵並擊鍵,以在電腦上植入惡意程式。

率先提出類似攻擊的是德國資安業者SRLabs,該公司在2014年就曾說明駭客只要變更可程式化的USB控制晶片,即可將各種USB裝置變成邪惡裝置(BadUSB),例如讓它模擬鍵盤以輸入命令,或是偽裝成網路卡來竄改電腦的DNS設定,以及讓惡意的隨身碟與外接硬碟在開機時就能植入惡意程式。

斯圓安全的作法即是基於SRLabs的研究,把一條充電線變成人機介面(HID),得以模擬鍵盤或滑鼠,還能擊鍵,以便於電腦上植入惡意程式。

斯圓安全創辦人姚旻言(Vincent Yiu)表示,USBHarpoon裝置可以有很多種形式,從充電線、開會用的投影裝置(Dongle)到USB風扇等。

由於USB充電線可說是最普遍的USB裝置,因此,除了斯圓安全之外,還有其他研究人員也在研究將USB充電線變成BadUSB,但姚旻言說,目前只有他們的研究成果能讓USB充電線可同時具備充電與HID的能力,其它的研究在將USB充電線變成BadUSB之後,也會讓它的充電功能失效。

攻擊示範影片:

 


熱門新聞

Advertisement