Новый вредоносный кабель Lightning может украсть пользовательские данные за милю

article thumbnail

Новая и обновленная версия вредоносного кабеля Lightning, который может украсть пользовательские данные и удаленно отправить их злоумышленнику, иллюстрирует угрозу ненадежных аксессуаров.

Кабель OMG, который выглядит в точности как стандартный кабель Lightning / USB, был впервые продемонстрирован еще в 2019 году исследователем безопасности MG. С тех пор MG смогла сотрудничать с поставщиком средств кибербезопасности Hak5 для массового производства кабелей для исследователей и тестеров на проникновение.

Хотя пользователям будет сложно найти что-то необычное в кабелях снаружи, они содержат некоторые скрытые модификации, которые делают их полезными для хакеров. Кабель OMG, подключенный к Mac, может, например, вводить пароли журнала или что-то еще, что вводит пользователь, и отправлять эти данные удаленному злоумышленнику.

В четверг Vice сообщил, что новая версия кабеля OMG включает в себя опцию Lightning to USB-C и другие усовершенствованные возможности, которые могут протестировать исследователи в области безопасности.

«Были люди, которые говорили, что кабели типа C безопасны для этого типа имплантата, потому что там недостаточно места. Так что, очевидно, я должен был доказать, что это не так», — сказал Vice исследователь MG.

Например, MG заявляет, что в новых кабелях есть функции геозон, которые могут переключать атаки в зависимости от физического местоположения жертвы. Диапазон кабелей также был утвержден, и исследователи могут запускать вредоносные полезные нагрузки с расстояния более мили. Добавление возможности подключения USB-C также может — теоретически — позволить кабелю выполнять атаки, такие как мобильные устройства, такие как iPhone.

Кабели OMG, которые можно приобрести у Hak5 примерно за 120 долларов, работают путем создания точки доступа Wi-Fi, к которой злоумышленник может подключиться со своих собственных устройств. После подключения они могут использовать обычный интерфейс веб-браузера для регистрации нажатий клавиш или выполнения других атак.

Соцсети