Исследователи Университета Аделаиды проверили больше чем 50 различных компьютеров и внешние центры USB и нашли, что более чем 90% из них пропустили информацию к внешнему USB-устройству. Результаты представляются на Симпозиуме безопасности USENIX в Ванкувере, Канада на следующей неделе.
«Подключенные устройства USB включают клавишные инструменты, cardswipers и считыватели отпечатков пальцев, которые часто посылают конфиденциальную информацию в компьютер», говорит руководитель проекта доктор Ювал Яром, Научный сотрудник со Школой Университета Аделаиды Информатики.«Считалось, что, потому что ту информацию только посылают вдоль пути непосредственной связи к компьютеру, это защищено от потенциально поставивших под угрозу устройств.«Но наше исследование показало, что, если злонамеренное устройство или один в это вмешались, включен в смежные порты на том же самом внешнем или внутреннем центре USB, эта конфиденциальная информация может быть захвачена. Это означает нажатия клавиш, показывающие пароли, или другая частная информация может быть легко украдена».
Доктор Яром говорит, что эта ‘утечка перекрестной связи от канала к каналу’ аналогична с водой, просачивающейся из труб. «Электричество течет как вода вдоль труб – и это может просочиться», говорит он. «В нашем проекте мы показали, что колебания напряжения линий данных USB-порта могут быть проверены от смежных портов на центре USB».Утечка была обнаружена студентом Университета Аделаиды Янгом Су, в Школе Информатики, в сотрудничестве с доктором Дэниелом Генкином (Университет Пенсильвании и Университет Мэриленда) и доктором Дэмитом Рэнэзингом (Auto-ID Lab, Университет Аделаиды). Они использовали измененную дешевую лампу программного расширения новинки с соединителем USB, чтобы «прочитать» каждое нажатие клавиши от смежного клавишного интерфейса USB.
Данные послали через Bluetooth в другой компьютер.Доктор Яром говорит, что другое исследование показало, что, если палки USB уронены на землю, 75% из них забраны и включены компьютер.
Но в них, возможно, вмешались, чтобы послать сообщение через Bluetooth или SMS к компьютеру куда угодно в мире.«Главное сообщение домашнего взятия – то, что люди ничего не должны соединять с USB, если они не могут полностью доверять ему», говорит доктор Яром. «Для пользователей это обычно означает не соединять с другими людьми устройства.
Для организаций, которые требуют большей безопасности, целая система поставок должна быть утверждена, чтобы гарантировать, что устройства безопасны».Доктор Яром говорит, что долгосрочное решение – то, что USB-соединения должны быть перепроектированы, чтобы сделать их более безопасными.
«USB был разработан под предположением, что все соединилось, находится под контролем пользователя и что всему доверяют – но мы знаем, что это не имеет место. USB никогда не будет безопасен, если данные не будут зашифрованы, прежде чем это пошлют».