デフコンに行くまでUSBケーブルが怖いとは思いませんでした。 しかし、それが私がO.MGケーブルについて最初に知った場所です。 悪名高いハッカー カンファレンスでリリースされた Elite ケーブルは、優れた技術力と非常にステルスなデザインの組み合わせで私を驚かせました。
簡単に言えば、ターゲットの期待どおりに動作しないケーブルを使用すると、多くの損害を与える可能性があります。
それは何ですか?
それはただの普通の、目立たない USB ケーブルです。
「これは、すでにお持ちの他のケーブルと同じように見えるケーブルです」と、ケーブルの作成者である MG は説明します。 「しかし、各ケーブルの内部には、Web サーバー、USB 通信、および Wi-Fi アクセスを備えたインプラントを配置しました。 差し込むだけで電源が入り、接続できるようになります。」
つまり、この普通に見えるケーブルは、実際には、そこを通過するデータを盗聴し、接続されている電話やコンピューターにコマンドを送信するように設計されています. はい、Wi-Fiアクセスポイントがあります ケーブル自体に組み込まれています. この機能は元のケーブルにもありましたが、最新バージョンにはネットワーク機能が拡張されており、インターネットを介した双方向通信が可能になりました。つまり、制御サーバーからの受信コマンドをリッスンし、接続されているデバイスから攻撃者にデータを送信します。
それは何ができますか?
繰り返しますが、これは完全に正常に見える USB ケーブルであることを強調します。そのパワーとステルス性は印象的です。
まず、USB Rubber Ducky (私も Def Con でテストしました) のように、O.MG ケーブルはキーストローク インジェクション攻撃を実行して、ターゲット マシンをだましてキーボードだと思い込ませ、テキスト コマンドを入力することができます。 コマンドラインを使用して、ソフトウェア アプリケーションを起動したり、マルウェアをダウンロードしたり、 保存された Chrome パスワードを盗む そしてそれらをインターネット経由で送信します。
また、キーロガーも含まれています。キーボードをホスト コンピューターに接続するために使用される場合、ケーブルは通過するすべてのキーストロークを記録し、後で取得できるようにオンボード ストレージに最大 650,000 のキー エントリを保存できます。 あなたのパスワード? ログに記録されました。 銀行口座の詳細? ログに記録されました。 送信したくない悪い下書きツイート? また、ログに記録されます。
(これには、ターゲット マシンへの物理的なアクセスが必要になる可能性が最も高いですが、「邪悪なメイドの攻撃」は実生活で実行できます。)
最後に、その内蔵Wi-Fiについて。 前述の Chrome パスワードの盗難など、多くの「流出」攻撃は、標的のマシンのインターネット接続を介してデータを送信することに依存しており、ウイルス対策ソフトウェアや企業ネットワークの構成ルールによってブロックされるリスクがあります。 オンボード ネットワーク インターフェイスはこれらの保護を回避し、ケーブルに独自の通信チャネルを提供してデータを送受信し、「エア ギャップ」、つまり外部ネットワークから完全に切断されたターゲットからデータを盗む方法さえ提供します。
基本的に、このケーブルは知らないうちに秘密を漏らしてしまう可能性があります。
どれくらいの脅威ですか?
O.MG ケーブルの恐ろしいところは、非常に目立たないことです。 ケーブルを手に持ってみると、特に怪しいところはありませんでした。 誰かがそれを携帯電話の充電器として提供していたら、私は考え直さなかったでしょう. Lightning、USB-A、および USB-C からの接続を選択することで、Windows、macOS、iPhone、および Android を含むほぼすべてのターゲット デバイスに適応できるため、さまざまな環境に適しています。
ただし、ほとんどの人にとって、標的にされる危険性は非常に低いです。 エリート バージョンの価格は 179.99 ドルであるため、これは間違いなくプロの侵入テスト用のツールであり、低レベルの詐欺師がターゲットを罠にかけようとして放置しておく余裕のあるものではありません. それでも、特に合理化された生産プロセスでは、コストは時間の経過とともに低下する傾向があります. (「私はもともとこれらを自分のガレージで手作業で作っていましたが、ケーブル 1 本あたり 4 ~ 8 時間かかりました」と MG は私に語った。数年後、現在は工場が組み立てを担当している.)
全体として、貴重なターゲットとなる何かがない限り、O.MG ケーブルでハッキングされる可能性はありません。 ただし、機密情報にアクセスできる人は、ケーブルのように無害なものであっても、コンピューターに接続するものに注意する必要があることを思い出してください。
自分で使ってもいいですか?
O.MG ケーブルを直接テストする機会はありませんでしたが、 オンラインセットアップ手順 ラバーダッキーでの私の経験では、それを使用するのに専門家である必要はありません.
ケーブルは、ファームウェアをデバイスにフラッシュするなどの初期設定が必要ですが、その後、ブラウザからアクセスできる Web インターフェイスを介してプログラムできます。 USB Rubber Ducky で使用されているのと同じプログラミング言語である DuckyScript の修正版で、攻撃スクリプトを作成できます。 その製品をテストしたとき、言語を理解するのは簡単であることがわかりましたが、経験の浅いプログラマーがつまずく可能性のあるいくつかのことにも気付きました.
価格を考えると、これはほとんどの人にとって最初のハッキング ガジェットとしては意味をなさないでしょう。