ジョージメイソン大学の2人の研究者、 Dr。Angelos Stavrou および Zhaohui Wang は、HID(Human Input Device)としてスマートフォン(Nexus One、ただしStavrou博士はiPhoneにも適用される)を使用できることを実証しました。 USB経由。 簡単に言えば、電話をコンピューターに接続するだけで、問題のコンピューターにサーバーがなくても、マウスまたはキーボードとして機能し、コンピューターの画面にはほとんどまたはまったく警告が表示されません。
通常、私たちはこのようなものを1つの非常にクールなハックと呼びますが、怖い側面もあります。 このエクスプロイトは、Windows、Mac、およびLinuxで、バイラルになります。 スタヴロ博士によると、
「 自宅のコンピューターが危険にさらされ、Androidスマートフォンを接続して危険にさらしたとします。その後、スマートフォンを別のラップトップまたはコンピューティングデバイスに接続するたびに、そのコンピューターを引き継ぎ、そのAndroid以外のコンピューターを危険にさらします。 USBケーブルを使用したウイルスタイプの侵害。 」
それが私たちの注意を引いたので、私たちは私たちのためにいくつかの質問に答えるのに十分親切だったスタヴロウ博士に連絡しました。 休憩の後、残りを読んでください。
これは、AndroidスマートフォンをWiFi、Bluetooth、またはUSB経由でHIDに変える既存のアプリケーションとどう違うのですか?
Androidマーケットからダウンロードしたアプリケーションで同じことをしていると思われる場合は、コンピューターにサーバーコンポーネントをインストールする必要があります。 このエクスプロイトは、コンピューター側での入力を必要としないだけでなく、ホストコンピューターに自分自身を渡して、次に接続する電話を危険にさらすのに必要なコンポーネントを感染させることもできます。コンピューター-システムトレイに表示される小さなポップアップ(Windows、Mac-Linuxはデフォルトでは通知を行いません)は、表示されるすべての警告です。 数秒後、「本物の」周辺機器ができるように、電話機はコンピュータを制御できるようになります。
あなたのエクスプロイトは、影響を受けるコンピューターで画面ロックを無効にしますか?
これは安心しますが、ラップトップから携帯電話を充電できるかどうかを尋ねる空港の人は、(理論的には)キーロガーのようなかなり悪いものをダウンロードしてインストールすることもできます。
このエクスプロイトは、問題のコンピューターに接続されている物理的なキーボードまたはマウスよりも多くのパワーまたはツールを攻撃者に与えますか?
ここでは物事が少し難しくなります。 新しい空港の仲間も、USBワイヤレスカードのふりをしたり、コンピューターのOSに対してエクスプロイトを実行しようとしたりして、データを取得して分析することができます。 そして最後に、エクスプロイトの最もクールな部分だけでなく、Androidファンにとって最も興味深い部分もあります。
USBホストは遊ぶのに最適です。 250 GBのUSBハードドライブを携帯電話に接続するなど、意味のないオタク的なことをすることは、Android携帯電話を持つことの楽しみの一部です。 これらのフェローはさらに一歩進んで、一方の電話を他方の電話のUSBデバイスとしてマウントしています。 私たちはこれを真剣に受け止めるべきだと知っていますが、次に少し自由な時間があるときに私が何をしようとしているのでしょうか?
すべての深刻さにおいて、それ自身で実行され、あるマシンから別のマシンにそれ自体を送信できるコードのビットは、良いことではありません。 しかし、この特定のエクスプロイトでは、コンピューターに物理的にアクセスする必要があるため、ユースケースはそれほど広くはありません。 スマートフォンで実行中のカーネルを変更しているため、コードを注入するにはルート権限が必要です。ルート化されている場合は、Superuser.apkを使用して、最初に発生したときに警告する必要があります。 また、USBケーブルを介して行われるため、実際のキーボードとマウスから最大3フィート離れています。 ランダムな見知らぬ人、間抜けなルームメイト、または元ガールフレンドにUSBコネクタを使用させないでください。おそらく大丈夫でしょう。
