BBC сообщила о возможной уязвимости устройств при зарядке через USB-C
Новости
Эксплой выводит на экран фальшивую форму авторизации. Для получения доступа требуется модифицировать зарядное устройство USB-C.
1К открытий1К показов
Специалист по безопасности под псевдонимом MG продемонстрировал BBC уязвимость лэптопов при зарядке через порт USB-C. Для реализации эксплойта требуется внести аппаратные изменения в зарядное устройство. Проблема кроссплатформенная и затрагивает все устройства с таким разъёмом питания.
Заражение через USB-C
Чтобы получить доступ к лэптопу, злоумышленнику потребуется добавить в зарядное устройство дополнительный компонент. Основная функция при этом не страдает, а пользователь видит значок зарядки. Уязвимость позволяет выводить на экран фальшивую форму авторизации. Таким образом, хакер получает доступ к логину и паролю. MG записал видео с демонстрацией процесса взлома:
Подробности обнаруженной уязвимости не раскрываются, так как информация может быть использована в преступных целях. MG предложил разработчикам, заинтересованным в работе над устранением этой проблемы безопасности, встретиться с ним на конвенте DEF CON.
Сам специалист предположил, что придётся ввести некую форму авторизации зарядных устройств перед предоставлением им доступа. Пока же он посоветовал не пользоваться зарядкой USB-C, полученной из ненадёжного источника.
Некоторые компании уже предпринимают шаги для обеспечения дополнительной безопасности устройств через внешний порт. Так, компания Apple реализовала в iOS 12 функцию USB Restricted Mode, благодаря которой Lightning-порт iPhone перестанет передавать данные спустя час после блокировки телефона. Это делает невозможной работу таких специализированных устройств-взломщиков, как GrayKey и Cellebrite.
1К открытий1К показов