Ładujesz przypadkową elektronikę poprzez porty USB komputera? To błąd – przestrzegają eksperci z Malwarebytes i przedstawiają znamienny dowód.
Sporo szumu wywołały ostatnio w sieci doniesienia o tworzeniu botnetów w oparciu o inteligentne szczoteczki do zębów. Te finalnie okazały się jednak tylko spekulacjami pewnego specjalisty ds. cyberbezpieczeństwa. Spekulacją nie jest natomiast niniejszy przypadek, choć w pierwszej chwili wydawać może się on nawet bardziej abstrakcyjny. Mianowicie ktoś sabotował zabawkę erotyczną.
Sytuację opisuje firma Malwarebytes, która dodaje, że chodzi o urządzenie marki Spencer. Przy czym nie ma pewności, czy ten konkretny egzemplarz był produktem oryginalnym. W każdym razie gadżet, nominalnie wykorzystujący USB tylko do ładowania, okazał się pamięcią flash ze szkodliwym oprogramowaniem Lumma na pokładzie.
Wedle przedstawionej relacji użytkowniczka miała podłączyć urządzenie do portu komputera, po czym ujrzeć ostrzeżenie ze strony zainstalowanego oprogramowania antywirusowego. To zaalarmowało ją na tyle, że całą historię opisała na forum Reddit, a badacze z Malwarebytes, zaintrygowani przedstawionymi wydarzeniami, zdecydowali się wyjaśnić kulisy sprawy.
Mimo iż producent w swoim oświadczeniu zapewnia, że port USB urządzenia fizycznie nie ma żadnej możliwości przesyłania danych, prześwietlany egzemplarz okazał się zawierać malware Lumma wraz z instalatorem. Jak zauważono, jest to oprogramowanie dostępne w szarej strefie jako usługa, które umożliwia m.in. wykradanie portfeli kryptowalutowych i danych z przeglądarek, a także omijanie weryfikacji dwuskładnikowej.
Jesteśmy świadomi problemu poruszonego w odniesieniu do jednego z naszych intymnych produktów i możemy potwierdzić, że nie jest on w stanie przesyłać danych, ponieważ nie ma fizycznego połączenia z obwodów płyty PC z pinami danych USB
– przekonuje producent w oświadczeniu.
Co jednak najistotniejsze, jak podkreśla Malwarebytes, to wnioski płynące z niniejszej sytuacji dla nas wszystkich: ładowanie przypadkowej elektroniki poprzez porty w komputerze nie jest najlepszym pomysłem. Nie ma bowiem żadnej gwarancji, że dany port USB rzeczywiście jest tylko portem ładującym.
Złącze USB typu A, bo o takim tu mowa, ma wedle specyfikacji do czterech pinów i tylko dwa środkowe odpowiadają za transfer danych. Zewnętrzne to zasilanie i masa. Można więc skonstruować gniazdo/wtyczkę tak, by przekazywać wyłącznie napięcie, ale pobieżne spojrzenie niewprawnym okiem wiele nie powie. Tymczasem do USB podłączamy setki urządzeń, w tym lampki czy e-papierosy. Często niewiadomego pochodzenia.
Źródło zdjęć: Shutterstock
Źródło tekstu: Malwarebytes, oprac. własne