Фальшивая USB-зарядка позволяет перехватить данные со смартфона

image

Устройство записывает PIN-коды, пароли, номера счетов, электронные сообщения, фото и видео.

Многие современные смартфоны позволяют отобразить дисплей устройства на рабочем столе ПК или экране телевизора. Как показало исследование, проведенное специалистами Aries Security, данная функция может использоваться для перехвата данных с мобильного устройства, пишет эксперт в области безопасности Брайан Кребс.

Брайан Маркус (Brian Markus), Джозеф Млодзяновски (Joseph Mlodzianowski) и Роберт Роули (Robert Rowley) разработали новый метод атаки под названием video jacking, предполагающий использование поддельной USB-зарядки для шпионажа за пользователями. Метод работает следующим образом: при подключении зарядки к уязвимому смартфону, устройство разделяет изображение на экране телефона и записывает все, что пользователь просматривает, нажимает или вводит, в том числе PIN-коды, пароли, номера счетов, электронные сообщения, фото и видео.

Исследователи продемонстрировали новый способ атаки на конференции по безопасности DEF CON, проходившей в Лас-Вегасе. По их словам, метод работает на большинстве Android- и других оснащенных HDMI-выходом смартфонов, включая iPhone 6, от Asus, Blackberry, HTC, LG, Samsung, Apple, ZTE и прочих производителей. Эксперты опубликовали видео, демонстрирующее работу метода на iPhone 6.

Фальшивые USB-зарядки могут использоваться для перехвата данных не только со смартфонов, но также беспроводных клавиатур. К примеру, в прошлом году исследователь безопасности Сами Камкар (Samy Kamkar) разработал устройство под названием KeySweeper, способное перехватывать, расшифровывать, сохранять и пересылать информацию о нажатии клавиш практически любой модели беспроводных клавиатур Microsoft.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.