Angelos Stavrou et Zhaohui Wang, deux chercheurs de l'Université George Mason, ont démontré qu'ils étaient capables d'utiliser un smartphone (un Nexus One, mais le Dr Stavrou affirme que cela s'applique également à l'iPhone) en tant que périphérique HID (Human Input Device). via USB. En un mot, il suffit de brancher le téléphone sur un ordinateur pour qu’il agisse comme une souris ou un clavier, sans serveur sur l’ordinateur en question, et offre peu ou pas d’avertissement sur l’écran de l’ordinateur.
Habituellement, nous appellerions quelque chose comme celui-ci un bidon cool, mais il y a aussi un côté effrayant. L'exploit pourrait être rendu viral, sous Windows, Mac et Linux. Selon le Dr Stavrou;
" Supposons que votre ordinateur à la maison soit compromis et que vous compromettez votre téléphone Android en les connectant. Ensuite, chaque fois que vous connectez le smartphone à un autre ordinateur portable ou à un autre appareil informatique, je peux également prendre en charge cet ordinateur, puis compromettre d'autres ordinateurs à partir d'Android. type de compromis viral à l’aide du câble USB ".
Cela a attiré notre attention et nous avons contacté le Dr Stavrou, qui a eu la gentillesse de répondre à quelques questions. Lire le reste, après la pause.
En quoi cela diffère-t-il des applications existantes qui transforment votre smartphone Android en un HID via WiFi, Bluetooth ou USB?
Les applications que vous téléchargez sur Android Market et qui semblent faire la même chose nécessitent l’installation d’un composant serveur sur votre ordinateur. Cet exploit n’a pas seulement besoin d’une entrée côté ordinateur, il peut également se transmettre à l’ordinateur hôte, en l’infectant avec les composants nécessaires pour compromettre le prochain téléphone que vous branchez. Pensez lorsque vous branchez votre souris USB sur un ordinateur. ordinateur - le petit pop-up que vous voyez dans la barre d'état système (Windows, Mac - Linux ne donne aucune notification par défaut) est tout l'avertissement que vous recevrez. Quelques secondes plus tard, le téléphone peut contrôler l'ordinateur, tout comme les "vrais" périphériques.
Votre exploit désactive-t-il le verrouillage de l'écran sur l'ordinateur affecté?
C'est soulageant, mais le type à l'aéroport qui demande s'il peut charger son téléphone depuis votre ordinateur portable pourrait aussi (en théorie) télécharger et installer quelque chose d'un peu pire - comme un enregistreur de frappe.
Cet exploit donne-t-il plus de puissance ou d’outils à un attaquant que le clavier ou la souris physique connecté à l’ordinateur en question?
Les choses deviennent un peu velues ici. Votre nouvel ami d’aéroport pourrait également récupérer et analyser vos données en prétendant être une carte sans fil USB, ou tenter d’exploiter des exploits contre le système d’exploitation de votre ordinateur. Et enfin, la partie la plus cool de l'exploit, mais aussi la partie la plus intéressante pour les fans d'Android;
Hôte USB est cool pour jouer avec. Faire des choses inutiles et geek comme avoir un disque dur USB de 250 Go connecté à votre téléphone fait partie de la chose amusante d'avoir un téléphone Android. Ces boursiers sont allés plus loin et ont un téléphone monté en tant que périphérique USB sur l'autre téléphone. Je sais que nous sommes supposés prendre cela au sérieux, mais devinez ce que je vais essayer la prochaine fois que j'ai un peu de temps libre?
Sérieusement, tout élément de code qui fonctionne par lui-même et peut se transmettre d'une machine à une autre n'est pas une bonne chose. Mais cet exploit nécessite que vous ayez un accès physique à un ordinateur, son cas d'utilisation n'est donc pas très large. Il s'agit de modifier le noyau en cours d'exécution sur votre smartphone. Vous devez donc disposer des privilèges root pour injecter le code. Si vous êtes root, vous devez utiliser le fichier superutilisateur.apk pour vous en avertir lors de sa première utilisation. Et comme cela se fait via un câble USB, vous êtes au maximum à 3 pieds du clavier et de la souris. Ne laissez pas des inconnus, des colocataires maladroits ou des ex-petites amies utiliser vos connecteurs USB. Tout ira bien.