Популярний IT-ресурс Github опублікував вихідний код шкідливого ПЗ, за допомогою якого невідомі зловмисники могли зламати будь-який девайс на ОС Android під час його підключення до звичайного USB-порту в публічних місцях, наприклад, у громадському транспорті, на зупинках або автозаправках.
Про це написав «Хабрахабр» з посиланням на дослідження групи інформаційної безпеки Кевіна Батлера з Університету Флориди.
Починаючи з Android 2.0, смартфон або планшет за підключення до USB-порту іншого девайса пропонує варіанти «Для зарядки», «Для обміну даними» тощо, при цьому задля безпеки передавання даних необхідно підтвердити додатково – щоб випадково не злити свою інформацію іншій стороні.
Пляма Microsoft: як неповнолітні хакери обіграли Білла Гейтса
Однак група Кевіна Батлера виявила витончений спосіб атаки на ваші пристрої через USB-порт. Зовні порт, як і раніше, виглядає лише джерелом живлення в аеропорту, кафе або на зараженому комп’ютері. Головна умова для успішної атаки – ви на якийсь час залишаєте екран смартфона поза увагою (і не бачите, що девайс «зажив своїм життям»).
Пароль блокування екрану легко обійти короткою командою. А потім хакер може використовувати недокументовані AT-команди для віддаленого управління екраном. У такий спосіб зловмисник обходить захист смартфона і створює нового користувача, імітуючи дотики до екрану за допомогою низькорівневих AT-команд.
Батлер описав схему в звіті, а всі подробиці виклав у короткому відео.
Через звичайну USB-зарядку з вашого смартфона можуть розіслати повідомлення, зробити дзвінок, підписати вас на послуги, переслати всю вашу пошту, увійти до вашого інтернет-банку і вкрасти коди доступу, включити камеру і зробити фото, скористатися взагалі будь-яким додатком на смартфоні або просто скинути до заводських налаштувань.
Команда Батлера виявила вразливості на девайсах брендів Samsung та LG й одразу сповістила виробників. У липні LG вже випустила латки для свого ПЗ. Однак мільйони пристроїв, які не оновлюються, залишаються під загрозою.
Північна Корея відправляє хакерів за кордон заробляти гроші для країни.