Фатальная уязвимость BadUSB поразила многие USB-контроллеры

В августе 2014 года известные хакеры Карстен Нол и Якоб Лелл из консалтинговой компании SR Labs заявили о том, что есть «фундаментальная уязвимость устройств USB». А уже через месяц после этого ими были опубликован код программы, с которым можно взломать компьютер по USB. 

 

И с тех пор были проверены сотни самых разных устройств самых разных производителей, чтобы узнать, есть ли в них указанный баг?

 

Проверке были подвергнуты практически все USB-контроллеры от восьми самых крупных мировых производителей. Речь идет про бренды Renesas, ASmedia, Genesys Logic, FTDI, Phison, Alcor, Cypress, Microchip. 

 

Результаты проверки нельзя толковать однозначно. Относительно хорошая новость в том, что примерно 50% устройств не подвержены данной уязвимости. Плохая новость в том, что нельзя сказать, о каких конкретно устройствах идет речь. 

 

Практически каждую модель флешки, веб-камеры, концентратора или адаптера для флеш-карт поставляют с разной начинкой. В одной партии может оказаться уязвимым контроллер, а в другой — нет. Ведь модель контроллера никак не обозначена на упаковке. И чтобы узнать детали, необходимо вскрыть прибор. Вот почему пользователи вынуждены применять устройство вслепую.

 

 

Авторы провели исследование, о результатах которого сообщили на конференции по безопасности PacSec. Она состоялась в Токио.

 

Есть в нем факты, про которые необходимо рассказать. Скажем, про уязвимость, которой подвержены абсолютно все USB-флешки с контроллерами, произведенные тайваньской фирмой Phison. И, наоборот, все чипы ASmedia имеют защиту от бага. Еще у одной тайваньской компании – Genesys — уязвимы контроллеры USB 3.0, однако надежно защищены контроллеры USB 2.0. 

 

Программу BadUSB устанавливают в прошивку периферийного устройства. Она полностью берёт под контроль компьютер, когда к нему подключаешься по USB. 

 

На компьютере жертвы BadUSB творит что угодно. Он может видоизменять файлы, которые устанавливаются в системе. Он перенаправляет интернет-трафик на произвольные адреса и при этом изменяет DNS-записи. Зловред даже способен выдать себя за клавиатуру, чтобы ввести произвольные команды.

 

Программа, установленная на компьютере, способна изменить прошивку по USB, а та потом может установить зловреда в систему. Из-за такого подхода нельзя доверять ни одному устройству, ни одному компьютеру. 

 

Так как код в прошивке, его трудно выявить и удалить. Лучше всего тогда вообще запретить подключать к компьютеру новые USB-устройства, то есть флешки, мышки, клавиатуры, смартфоны и прочие приборы. А в перспективе производителям необходимо будет чётко указывать, какие микросхемы установлены в их устройствах. Можно также проводить криптографическую проверку обновлений прошивки.