Zwei Forscher der George Mason University, Dr. Angelos Stavrou und Zhaohui Wang, haben die Fähigkeit demonstriert, ein Smartphone (ein Nexus One, aber Dr. Stavrou sagt, dass dies auch für das iPhone gilt) als HID (Human Input Device) zu verwenden. über USB. Einfach ausgedrückt: Wenn Sie das Telefon an einen Computer anschließen, fungiert es als Maus oder Tastatur, ohne dass ein Server auf dem betreffenden Computer vorhanden ist, und es wird nur eine geringe oder keine Warnung auf dem Computerbildschirm angezeigt.
Normalerweise würden wir so etwas einen verdammt coolen Hack nennen, aber es gibt auch eine beängstigende Seite. Der Exploit könnte auf Windows, Mac und Linux viral gemacht werden. Laut Dr. Stavrou;
" Angenommen, Ihr Computer zu Hause ist kompromittiert, und Sie gefährden Ihr Android-Telefon, indem Sie sie anschließen. Wenn Sie dann das Smartphone an einen anderen Laptop oder ein anderes Computergerät anschließen, kann ich auch diesen Computer übernehmen und dann andere Computer von diesem Android-Gerät kompromittieren virale Art der Gefährdung mit dem USB-Kabel."
Das erregte unsere Aufmerksamkeit, und wir wandten uns an Dr. Stavrou, der so freundlich war, uns einige Fragen zu beantworten. Lesen Sie den Rest nach der Pause.
Wie unterscheidet sich dies von bestehenden Anwendungen, die Ihr Android-Smartphone über WLAN, Bluetooth oder USB in ein HID verwandeln?
Für Anwendungen, die Sie aus dem Android Market herunterladen und anscheinend dasselbe tun, muss eine Serverkomponente auf Ihrem Computer installiert sein. Dieser Exploit benötigt nicht nur keine Eingaben auf der Computerseite, sondern kann sich auch selbst auf den Hostcomputer übertragen und ihn mit den Komponenten infizieren, die erforderlich sind, um das nächste Telefon, das Sie anschließen, zu gefährden Computer - das kleine Pop-up in der Taskleiste (Windows, Mac - Linux gibt standardmäßig keine Benachrichtigung aus) ist die einzige Warnung, die Sie erhalten. Ein paar Sekunden später kann das Telefon den Computer genauso steuern wie die "echten" Peripheriegeräte.
Deaktiviert Ihr Exploit die Bildschirmsperren auf dem betroffenen Computer?
Das ist eine Erleichterung, aber der Typ am Flughafen, der fragt, ob er sein Telefon von Ihrem Laptop aus aufladen kann, könnte (theoretisch) auch etwas Schlimmeres herunterladen und installieren - wie einen Keylogger.
Bietet dieser Exploit einem Angreifer mehr Power oder Tools als die physische Tastatur oder Maus, die an den betreffenden Computer angeschlossen ist?
Hier wird es ein bisschen haarig. Ihr neuer Flughafenkumpel könnte auch Ihre Daten erfassen und analysieren, indem er sich als USB-WLAN-Karte ausgibt oder versucht, Exploits für das Betriebssystem Ihres Computers auszuführen. Und schließlich der coolste Teil des Exploits, aber auch der Teil, der für Android-Fans am interessantesten ist.
USB-Host ist cool zum Spielen. Sinnlose, geekige Dinge wie das Anschließen einer 250-GB-USB-Festplatte an Ihr Telefon gehören zum Spaß an einem Android-Telefon. Diese Kollegen sind noch einen Schritt weiter gegangen und haben ein Telefon als USB-Gerät auf dem anderen Telefon installiert. Ich weiß, dass wir das ernst nehmen sollen, aber raten Sie mal, was ich versuchen werde, wenn ich das nächste Mal ein bisschen Freizeit habe?
Im Ernst, jeder Code, der von alleine läuft und sich selbst von einem Computer auf einen anderen übertragen kann, ist keine gute Sache. Für diesen speziellen Exploit ist jedoch ein physischer Zugriff auf einen Computer erforderlich, sodass der Anwendungsfall nicht sehr umfassend ist. Es ändert den laufenden Kernel auf Ihrem Smartphone, sodass Root-Rechte erforderlich sind, um den Code zu injizieren. Wenn Sie gerootet sind, sollten Sie Superuser.apk verwenden, um Sie zu warnen, wenn dies zum ersten Mal geschieht. Und da dies über ein USB-Kabel erfolgt, sind Sie höchstens einen Meter von der eigentlichen Tastatur und Maus entfernt. Lass nicht zu, dass zufällige Fremde, doofe Mitbewohner oder Ex-Freundinnen deine USB-Anschlüsse benutzen, und alles wird wahrscheinlich in Ordnung sein.
