es su USB

En la entrega de hoy de la aplicación de la ley de Betteridge, aquí hay una prueba de concepto de base USB-C malvada de [Lachlan Davidson] de [Aura Division]. Hemos visto muchos dispositivos USB maliciosos, desde cables y cargadores hasta unidades flash e incluso ventiladores USB sospechosos. Pero un muelle, sin embargo, es nuevo. La esencia es simple: toma una base estándar, encuentra un Pi Zero W y lo conecta a un puerto USB 2.0 conectado en algún lugar dentro de la base. Encontrar un Pi Zero es, sin duda, la parte más difícil de este esfuerzo: en el lado del software, todo está listo para usted, ¡simplemente flashee una tarjeta SD con una imagen maliciosa precocinada y listo!

A primera vista, esto podría parecer un ataque USB malicioso. Sin embargo, hay un elemento no técnico; Los puertos USB-C son cada vez más populares y, con el nivel único de comodidad que ofrecen, la tentación de "enchufarlo" es mucho mayor que con otros dispositivos. Por ejemplo, en espacios de trabajo compartidos, tener un cable USB-C con carga y, a veces, incluso un segundo monitor se está convirtiendo en una norma. Si usa USB-C todos los días, la conveniencia de simplemente conectar un cable USB-C a su computadora portátil se vuelve demasiado buena para dejarla pasar.

Este truco no usa exactamente ninguna característica técnica específica de USB-C, como Power Delivery (PD), se trata más de explotar el factor de conveniencia de USB-C que lo incentiva a conectar un cable USB-C, amplificando un viejo ataque. Ahora, BadUSB con su inyección de pulsaciones de teclas ya no es el límite: con una base USB-C compatible con Thunderbolt, puede conectar un dispositivo PCIe internamente e incluso obtener acceso a los contenidos de RAM de una computadora portátil. Por supuesto, temer a los cables USB-C no es un enfoque viable, por lo que tal vez sea hora de que comencemos a protegernos de los ataques BadUSB en el lado del software.