BBC сообщила о возможной уязвимости устройств при зарядке через USB-C

Специалист по безопасности под псевдонимом MG продемонстрировал BBC уязвимость лэптопов при зарядке через порт USB-C. Для реализации эксплойта требуется внести аппаратные изменения в зарядное устройство. Проблема кроссплатформенная и затрагивает все устройства с таким разъёмом питания.

Заражение через USB-C

Чтобы получить доступ к лэптопу, злоумышленнику потребуется добавить в зарядное устройство дополнительный компонент. Основная функция при этом не страдает, а пользователь видит значок зарядки. Уязвимость позволяет выводить на экран фальшивую форму авторизации. Таким образом, хакер получает доступ к логину и паролю. MG записал видео с демонстрацией процесса взлома:

Подробности обнаруженной уязвимости не раскрываются, так как информация может быть использована в преступных целях. MG предложил разработчикам, заинтересованным в работе над устранением этой проблемы безопасности, встретиться с ним на конвенте DEF CON.

Сам специалист предположил, что придётся ввести некую форму авторизации зарядных устройств перед предоставлением им доступа. Пока же он посоветовал не пользоваться зарядкой USB-C, полученной из ненадёжного источника.

Некоторые компании уже предпринимают шаги для обеспечения дополнительной безопасности устройств через внешний порт. Так, компания Apple реализовала в iOS 12 функцию USB Restricted Mode, благодаря которой Lightning-порт iPhone перестанет передавать данные спустя час после блокировки телефона. Это делает невозможной работу таких специализированных устройств-взломщиков, как GrayKey и Cellebrite.