Existen dispositivos maliciosos USB que pueden espiar secretamente los datos que fluyen dentro y fuera de los dispositivos conectados a los puertos USB adyacentes, han advertido investigadores de seguridad.
Por ejemplo, pulsaciones de teclas de un teclado USB podría ser leído por una unidad de pulgar especialmente modificado colocado en el puerto de al lado. El stick espía puede detectar señales eléctricas que se escapan de un puerto a otro; Analizar esta fuga abre la puerta a los ataques keylogging en este caso.
Esto significa que los delincuentes pueden leer información confidencial de una computadora si son capaces de obtener una unidad de pulgar atrapada o algún otro gadget malvado en la máquina de una víctima. No es un escenario particularmente práctico o aterrador, pero si interesante, sin embargo – es definitivamente algo para estar al tanto si usted conecta sus dispositivos en los puntos de carga pública, por ejemplo, los aeropuertos.

“En nuestro proyecto, mostramos que las fluctuaciones de voltaje de las líneas de datos del puerto USB pueden ser monitoreadas desde los puertos adyacentes en el hub USB”, dijo el Dr. Yuval Yarom, investigador asociado con La Escuela de Informática de la Universidad de Adelaida.
“Pero nuestra investigación mostró que si un dispositivo malintencionado o que ha sido manipulado se conecta a puertos adyacentes en el mismo hub USB externo o interno, puede capturar esta información confidencial, lo que significa que las pulsaciones de teclas que muestran contraseñas u otra información privada pueden ser fácilmente robadas . “
La investigación, que se presentará en la conferencia de seguridad de la USENIX de la próxima semana en Vancouver, Canadá, descubrió que más del 90 por ciento de los 50 dispositivos USB probados por el equipo podrían ser leídos usando lo que llaman un ataque de “fuga de diafonía canal a canal”.
Para el experimento, se modificó una lámpara de escritorio USB de novedad para que pudiera recoger los datos de un teclado que se enchufaba en un puerto adyacente. Las pulsaciones de teclado se enviaron a través de Bluetooth a una computadora separada y se analizaron utilizando un software para decodificar las pulsaciones de teclas y, por lo tanto, fisgonear en cualquier nombre de usuario, contraseñas y otra información sensible que se estaba escribiendo.
“El USB ha sido diseñado bajo la suposición de que todo lo que está conectado está bajo el control del usuario y que todo es de confianza, pero sabemos que no es así. El USB nunca será seguro a menos que los datos sean cifrados antes de ser enviados”. Dijo Yarom.
“El principal mensaje para llevar a casa es que la gente no debe conectar nada a USB a menos que puedan confiar plenamente en el. Para los usuarios por lo general significa no conectarse a los dispositivos de otras personas. Para las organizaciones que requieren más seguridad, toda la cadena de suministro debe ser validado para asegurarse de que los dispositivos son seguros.”
Translate »