George Mason Üniversitesi'nden Dr. Angelos Stavrou ve Zhaohui Wang'dan iki araştırmacı, bir akıllı telefon kullanma yeteneğini (Nexus One, ancak Dr. Stavrou bunun iPhone için de geçerli olduğunu söylüyor) HID (İnsan Giriş Cihazı) olarak gösterdiler. USB üzerinden. Basitçe söylemek gerekirse, telefonu bir bilgisayara bağlamak, söz konusu bilgisayarda sunucusuz bir fare veya klavye gibi davranmasına neden olur ve bilgisayar ekranında çok az veya hiç uyarı vermez.
Genelde bunun gibi bir şey söyleriz helluva hack serin ama korkutucu bir yanı da var. Bu istismar, Windows, Mac ve Linux'ta viral hale getirilebilir. Dr. Stavrou'ya göre;
" Evde bilgisayarınızın tehlikeye girdiğini ve Android telefonunuzu bağlayarak tehlikeye sokulduğunu söyleyin, Ardından, akıllı telefonu başka bir dizüstü bilgisayara veya bilgisayar aygıtına her bağladığınızda, o bilgisayarı da devralabilirim ve sonra bu Android'deki diğer bilgisayarları tehlikeye atabilirim. USB kablosu kullanarak viral bir uzlaşma.
Bu dikkatimizi çekti, bu yüzden birkaç soruya cevap verecek kadar kibar olan Dr. Stavrou'ya ulaştık. Dinlenmeyi oku, aradan sonra.
Bunun, Android akıllı telefonunuzu WiFi, Bluetooth veya USB üzerinden HID'ye dönüştüren mevcut uygulamalardan farkı nedir?
Aynı şeyi yapıyor gibi görünen Android pazarından indirdiğiniz uygulamalar, bilgisayarınızda yüklü bir sunucu bileşeni gerektirir. Bu istismar, sadece bilgisayar tarafında giriş yapmakla kalmaz, kendisini ana bilgisayara aktarabilir, bir sonraki taktığınız telefonu tehlikeye sokmak için gereken bileşenlere bulaştırabilir. USB farenizi taktığınızda düşünün bilgisayar - sistem tepsisinde gördüğünüz küçük pencere (Windows, Mac - Linux varsayılan olarak bildirimde bulunmaz) alacağınız tüm uyarıdır. Birkaç saniye sonra telefon bilgisayarı "gerçek" çevre birimleri gibi kontrol edebilir.
Suistimaliniz etkilenen bilgisayardaki ekran kilitlerini kapatıyor mu?
Bu rahatlatıyor, ancak havaalanında telefonunu dizüstü bilgisayarınızdan şarj edip edemeyeceğini soran adam da (teorik olarak) bir keylogger gibi çok daha kötü bir şeyi indirip yükleyebilir.
Bu istismar, saldırgana söz konusu bilgisayara bağlı fiziksel klavyeden veya fareden daha fazla güç veya araç sağlıyor mu?
Burada işler biraz kıllı olur. Yeni havaalanı arkadaşınız da bir USB kablosuz kart gibi davranarak veya bilgisayarınızın işletim sistemine karşı suistimaller yapmaya çalışarak verilerinizi kapıyor ve analiz ediyor olabilir. Ve nihayet, istismarın en havalı kısmı, aynı zamanda Android hayranları için en ilginç olanı;
USB host oynamak için harika. Telefonunuza takılan 250 GB'lık bir USB sabit sürücüye sahip olmak gibi anlamsız, ilginç şeyleri yapmak, Android telefona sahip olmanın eğlenceli bir parçasıdır. Bu üyeler bir adım daha ileri gitti ve bir telefonda diğer telefona USB aygıtı olarak monte edildi. Bunu ciddiye almamız gerektiğini biliyorum, ama sanırım bir dahaki boş vaktim olduğunda ne deneyeceğim?
Ciddiyetle, kendi kendine çalışan ve kendisini bir makineden diğerine aktarabilen herhangi bir kod biti iyi bir şey değildir. Ancak bu istismar, bir bilgisayara fiziksel erişiminiz olmasını gerektirir, bu nedenle kullanım durumu çok geniş değildir. Akıllı telefonunuzdaki çalışan çekirdeği değiştiriyor; bu nedenle, kodu enjekte etmek için kök ayrıcalıklarına ihtiyacınız var ve köktiyseniz, ilk olduğunda sizi uyarması için Superuser.apk kullanmanız gerekir. Ve bir USB kablosuyla yapıldığı için, gerçek klavye ve fareden en fazla 3 metre uzaktasınız. Rastgele yabancıların, aptal oda arkadaşlarının veya eski kız arkadaşların USB konektörlerinizi kullanmalarına izin vermeyin, işler muhtemelen iyi olur.
