La mayoría de las personas no piensan dos veces antes de tomar un cable de carga del teléfono y enchufarlo. Pero el proyecto de un hacker quiere cambiar eso y crear conciencia sobre los peligros de los cables de carga potencialmente maliciosos.
Un pirata informático que utiliza el controlador en línea MG tomó un cable USB Lightning de Apple de aspecto inocente y lo manipuló con un pequeño implante habilitado para Wi-Fi, que, cuando se conecta a una computadora, permite que un pirata informático cercano ejecute comandos como si estuviera sentado delante de la pantalla
Apodado el cable O.MG , se ve y funciona casi indistinguiblemente de un cable de carga de iPhone. Pero todo lo que un atacante tiene que hacer es cambiar el cable legítimo por el cable malicioso y esperar hasta que un objetivo lo conecte a su computadora. Desde un dispositivo cercano y dentro del alcance de Wi-Fi (o conectado a una red Wi-Fi cercana), un atacante puede transmitir de forma inalámbrica cargas maliciosas en la computadora, ya sea desde comandos preestablecidos o el propio código de un atacante.
Una vez conectado, un atacante puede controlar de forma remota la computadora afectada para enviar páginas de phishing de aspecto realista a la pantalla de una víctima, o bloquear remotamente la pantalla de una computadora para recopilar la contraseña del usuario cuando inician sesión nuevamente.
MG centró su primer intento en un cable Apple Lightning, pero el implante se puede usar en casi cualquier cable y contra la mayoría de las computadoras de destino.
"Este cable Lightning específico permite cargas útiles de ataque multiplataforma, y el implante que he creado se adapta fácilmente a otros tipos de cable USB", dijo MG. "Apple resulta ser el más difícil de implantar, por lo que fue una buena prueba de sus capacidades".
En su trabajo diario como un equipo rojo en Verizon Media (que posee TechCrunch), desarrolla métodos y técnicas de piratería innovadores para identificar y corregir vulnerabilidades de seguridad antes de que los atacantes maliciosos los encuentren. Aunque es un proyecto personal, MG dijo que su cable malicioso puede ayudar a los terapeutas rojos a pensar en defenderse de diferentes tipos de amenazas.
"De repente, ahora tenemos hardware implementado por la víctima que puede no ser notado por períodos de tiempo mucho más largos", explicó. “Esto cambia tu forma de pensar sobre las tácticas de defensa. Hemos visto que la NSA ha tenido capacidades similares durante más de una década, pero en realidad no está en los modelos de amenazas de la mayoría de las personas porque no se considera lo suficientemente común ".
"La mayoría de las personas saben que no deben conectar unidades flash aleatorias en estos días, pero no esperan que un cable sea una amenaza", dijo. "Así que esto ayuda a impulsar la educación en el hogar que va más allá".
MG gastó miles de dólares de su propio dinero e incontables horas trabajando en su proyecto. Cada cable tardó unas cuatro horas en ensamblarse. También trabajó con otros piratas informáticos para escribir parte del código y desarrollar exploits, y regaló su suministro de cables hechos a mano a los asistentes de Def Con con un plan para venderlos en línea en el futuro cercano, dijo.
Pero el cable O.MG aún no está listo. MG dijo que está trabajando con otros para mejorar la funcionalidad del cable y expandir su conjunto de características.
“Realmente solo se trata de tiempo y recursos en este momento. Tengo una lista enorme en mi cabeza que necesita hacerse realidad ”, dijo.
(a través de la placa base )
No hay comentarios:
Publicar un comentario