LINUX.ORG.RU

Ноутбуки с usb-c для зарядки оказались подвержены взлому

 , ,


0

1

Какой сюрприз! Если подсунуть юзеру модифицированную зарядку, то через нее можно сливать пароли и творить другие нехорошие штуки.

https://www.techradar.com/news/hackers-could-hijack-devices-using-a-laptops-u...

Ждем зарядок с алиэкспресс превращающих наши ноуты в майнеры. Линукс тут при том что эта платка для зарядки возможно работает под его управлением, а также ноуты с линукс тоже подвержены взлому

Шерето! Всё будет шерето! Всё будет шерето я это знаю, знаю!

StReLoK ☆☆ ()

справедливости ради, такой же опасной может быть клавиатура, мышка, флешка и что угодно еще

Antimatter ()
Ответ на: комментарий от Antimatter

Ну да, но на левые флешки, мыши и клавиатуры ещё как-то будут подозрительно смотреть. А от зарядки такой подвох вряд ли ожидают, и будут подключать без задней мысли.

i-rinat ★★★★★ ()

Странно что только сейчас догадались. Телефоны уже сто лет от микроусб заряжают, тоже сюрпризов насовать можно.

DNA_Seq ★★☆☆☆ ()
Ответ на: комментарий от dk-

Это не лол, а было вполне ожидаемо. Гугли, как ломали маки через thunderbolt. А это теже яйца, вид в профиль.

beastie ★★★★★ ()

Но вы зря ликуете!

Скоро после этого каждый производитель как Ябл запилит огороженность только на свою зарядку. Чтобы другие не пользовать.

Ramil ★★★ ()
Ответ на: комментарий от Ramil

Уже давно вроде, у меня айпад был когда-то, так ему если китайскую зарядку дать, он сразу вонять начинал, мол это не так ему, это не то...

SHODAN ()

Физический доступ к компьютеру ВСЕГДА обнуляет любую систему безопасности.

Miguel ★★★★★ ()

А теперь вспоминаем общественные зарядки в отелях/аэропортах/етц

leave ★★★★★ ()

По ссылке не ходил. Чё там? Зарядка притворяется клавомышкой и вводит всякое нехорошее? Это шерето уже давно не новость, аналитики ЛОРа уже предлагали различные решения для этой проблемы

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

По ссылке зарядка показывает фейковый экран входа о_О

gadfly ★★ ()
Ответ на: комментарий от gadfly

Да хоть порно с понями. Вопрос в том как именно она это делает. Проверенный способ это USB устройство притворяющееся клавой и флэшкой. На малварь, клава «на ощупь» пытается её запустить

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

Деталей пока не раскрывают, но выполнение произвольного кода на маках уже было.

gadfly ★★ ()

Ну штука давно не новая. С USB такие приколы давно были и есть.

Единственное, что это преподнесено теперь под соусом Type-C, где есть универсальность. И чисто психологически не ожидаешь от зарядки такого.

fornlr ★★★★★ ()
Ответ на: комментарий от fornlr

А от клавиатуры ожидаешь? В какую-нибудь dell или microsoft кейлоггер встроить как за нефиг

Antimatter ()

А что если... сделать систему Permissions для устройств? Подключаешь такую зарядку, и выскакивает окно: «Вы уверены, что хотите дать устройству XXX (S/N: YYY) доступ к обеспечению следующих функций: сетевая карта, внешний монитор, микрофон, клавиатура?»

Когда тот же iPhone подключаешь к Mac, на iPhone, например, просят ввести PIN и подтвердить, что этому компьютеру можно доверять. Сделать что-то похожее, но более гранулярное — с перечнем разрешений, а может и возможностью их давать раздельно.

Ruth ★★ ()
Последнее исправление: Ruth (всего исправлений: 2)

Стоит носить с собой переходник с разорванными цепями передачи данных, оставив рабочей только цепь питания. Для различных Type A и Type B давно уже есть в продаже готовые.

Pravorskyi ()

Про решето сказали уже?

Zhbert ★★★★★ ()
Ответ на: комментарий от Pravorskyi

Стоит носить с собой переходник с разорванными цепями передачи данных, оставив рабочей только цепь питания.

Поправьте, если я ошибаюсь, но в случае с USB-C зарядка с девайсом как раз по линиям данных договариваются о подаче напряжения выше 5V.

Т.е. если разорвать линию связи, то процесс зарядки будет идти на дефолтном безопасном напряжении (и лимитом тока в 2А). Это означает, что зарядка будет идти или очень медленно (десять ватт против шестидесяти), или для некоторых девайсов вообще не начнется.

ZhuKoV ()
Ответ на: комментарий от ZhuKoV

A device that implements USB-C does not necessarily implement USB 3.1, USB Power Delivery, or Alternate Mode.

Зависит от ситуации. Возможно, достаточно разорвать только обычную цепь передачи данных, если блок питания и ноутбук договариваются через Alternate Mode. Тогда БП не сможет притвориться USB HID или другим стандартным I/O устройством. А вообще да, учитывая, что по Alternate Mode могут быть самые разнообразные устройства, то это вообще нужно фильтровать на программном уровне по белым спискам, если не получается физически отделить линии только для зарядки.

И ещё:

USB-C 3.1 cables are considered full-featured USB-C cables. They are electronically marked cables that contain a chip with an ID function based on the configuration channel and vendor-defined messages (VDM) from the USB Power Delivery 2.0 specification.

All USB-C to USB-C cables must contain e-marker chips programmed to identify the cable and its current capabilities. USB Charging ports should also be clearly marked with capable power wattage.

В каждом кабеле по чипе. Конечно, понятно, что речь идёт о примитивных чипах. Но что мешает туда поставить более мощный чип? Или даже ждём noname кабеля, которые прикидываются лицензионными, USB HID, и даже USB-Ethernet с роутером со своими DNS и таблицей маршрутизации. И всё это может быть в очередном кабеле(!), в обычном магазине с обычными не 100% белыми схемами импорта товаров.

Уже не говоря о том, что это прямо таки раскрывает путь к vendor-lock даже на USB кабеля.

Pravorskyi ()
Ответ на: комментарий от Pravorskyi

не сможет притвориться USB HID или другим стандартным I/O устройством

Ну в видео по ссылке - при подключении хакнутого блока питания на ноуте открывается фишинговая страница в браузере. Это не просто кейлоггер

Antimatter ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)