一周前透露,BadUSB 缺陷– 它允许您通过重新编程其固件将任何 USB 配件转变为恶意设备 – 也适用于 Android 智能手机。昨天,即 8 月 7 日星期四,安全研究人员 Karsten Nohl 和 Jakob Lell 在 Black Hat 2014 会议上向与会者展示了基于这一惊人漏洞的一系列攻击场景。
其中一项涉及让 Android 手机在插入 PC 时看起来具有以太网接口。结果:所有互联网流量都会通过智能手机,例如,允许黑客恢复有价值的密码。这种诡计很难被发现。要查看是否有问题,您必须转到网络管理器:然后您将看到第二个网络接口出现(在本例中为“网络 17”)。
研究人员表示,Android 智能手机构成“最简单的攻击平台”利用 BadUSB 漏洞。这对于银行和在线服务来说尤其是坏消息,因为它削弱了双重身份验证的原则。事实上,控制了 Android 手机的黑客可以首先通过将受害者的标识符冒充网络接口来恢复受害者的标识符。然后,通过将其伪装成键盘,它可以进入帐户,因为它也会检索验证码。 3D Secure 就是双因素身份验证系统的一个例子,银行用它来保护在线购买的安全。
USB 设备可以伪装成键盘这一事实非常强大,因为它允许您在 PC 上运行几乎所有内容。因此,两位研究人员在 Black Hat 演讲中展示了 USB 密钥安装恶意代码的场景。插入 Linux 计算机后,重新编程的驱动器首先表现为它应有的存储介质。然后,图标消失,我们看到一个带有 Shell 命令的窗口短暂打开:钥匙刚刚变成了 USB 键盘!
Karsten Nohl 和 Jakob Lell 还演示了复制原理:重新编程的密钥首先通过伪装成键盘来感染 Windows PC。然后,当插入另一个钥匙时,电脑依次对其重新编程。 “其他情况也是可能的 »,他们解释道,并给出了一些想法:更新 BIOS、隐藏按键上的数据、篡改显示屏等。
针对 BadUSB 缺陷几乎没有什么补救措施。“只有一种方法可行,那就是让 USB 设备的固件无法更新。这是有可能的,但据我们所知,没有供应商这样做。”,指定卡斯滕·诺尔。即使他们现在开始这样做,也需要时间来更换所有现有库存。“这个缺陷将继续存在。十年后她还会在这里”,研究人员估计。不太令人鼓舞。
另请阅读:
