Siti web come Amazon e eBay vendono cavi dati USB per una cifra irrisoria, spesso di provenienza sconosciuta o dubbia.
Devo diffidare nell'usare questi cavi per trasferire dati da o verso i miei dispositivi? È possibile (e plausibile) che abbiano un carico utile malevolo che possa compromettere la sicurezza del dispositivo host?
È ragionevole supporre che i cavi economici a basso costo venduti su larga scala non vengano generalmente modificati per includere hardware offensivo, principalmente per due motivi:
Tuttavia, se hai qualche motivo per aspettarti attacchi mirati e costosi volti a comprometterti tu da persone che non hanno remore a compiere azioni illegali, allora è certamente una possibilità che l'hardware che ricevi sia "speciale". Tuttavia, questo non è limitato in alcun modo a economici cavi dati USB o cavi dati USB - attacchi ragionevolmente simili si applicherebbero per qualsiasi dispositivo acquistato allo stesso modo, da mouse / tastiere per laptop o hardware server. Come fai a sapere che sul tuo computer non è stata installata una backdoor hardware / firmware al momento dell'acquisto?
Se hai motivo di aspettarti tali rischi, devi trattare gli acquisti di cavi dati USB in modo simile a tutti gli altri hardware sensibili; ad esempio, assicurati di acquistare un articolo che non può essere "adattato" in modo specifico per te, ad es. acquisto casuale di un articolo generico dallo scaffale di un negozio invece di un ordine remoto che verrà inviato al tuo indirizzo.
Problemi di sicurezza con i cavi? No.
È tecnicamente possibile avere un dispositivo nascosto / incorporato nel qual caso si applicano tutte le avvertenze di un dispositivo USB non attendibile.
Tuttavia, il costo di un dispositivo, in particolare quello abbastanza piccolo da essere nascosto in un cavo, sarebbe un po 'più alto del cavo stesso, quindi probabilmente non devi preoccuparti di questo.
Non riesco davvero a immaginare che il cavo stesso contenga un dispositivo malevolo come spiegato da @GeorgeBailey. Quindi direi che questi cavi sono innocui se si considera la riservatezza o l'integrità.
Tuttavia, se si considera che la sicurezza comprende anche la disponibilità (disponibilità), è probabile che i contatti siano di scarsa qualità e che si verifichino occasionali perdite di connessione durante l'utilizzo. Che si tratti di un problema reale dipende dall'utilizzo effettivo ...
Sono d'accordo sul fatto che il potenziale di accesso malevolo sia piuttosto basso e, se sei davvero preoccupato, puoi sempre acquistare un cavo in più di quello che ti serve e strapparlo per verificare che nulla sia nell'alloggiamento che non dovrebbe essere Voglio sottolineare che, anche se non mi preoccuperei eccessivamente di potenziali problemi di sicurezza, il potenziale danno fisico ai dispositivi che vengono caricati è reale, molti dei cavi di fascia bassa disponibili non soddisfano pienamente le specifiche USB e spesso mancano caratteristiche necessarie per impostare correttamente la potenza di uscita di una porta, molto probabilmente non è un problema se viene utilizzato come cavo dati ma potrebbe essere un problema se un dispositivo si aspetta un ingresso di alimentazione molto basso ed è collegato a una porta USB progettata per essere utilizzata caricare rapidamente i dispositivi.
I cavi sono cose incredibilmente semplici. Stai suggerendo che i modelli più economici alloggiano l'elettronica allo scopo di compromettere la tua sicurezza? Ciò costerebbe solo al denaro extra del fornitore.
Ciò di cui dovresti davvero fare attenzione è pagare troppo per un prodotto da $ 5. I cavi non sono costosi. Dovresti pagare non più di quello che chiami "una miseria" per loro.
Se sei una persona di interesse, allora tutto è possibile, suppongo. Dubito che il cavo spedito da, ad es. Amazon non è affidabile, ma le spedizioni possono essere intercettate e ciò che arriva nella tua casella di posta potrebbe essere stato manomesso. Improbabile che succeda al 99,9% di noi.
Un problema più grande è che molti cavi USB 3 hanno dimostrato di essere di pessima qualità.
The problems stem from manufacturers not complying with the interface's specifications, specifically the use of resistors: a 56kΩ pull-up resistor should be connected to the Vbus pin to signal that one end of the cable or converter is a legacy USB device that can't handle a 3A current draw.
( link )
Lo stesso ingegnere in seguito ha riferito di friggere alcune delle sue apparecchiature a causa di un cavo difettoso:
Further analysis showed that the advertised SuperSpeed cables were missing entirely, and a 10 kΩ resistor was used instead of the 56 kΩ resistor the spec calls for. Needless to say, by the time the checks were done all of Leung's testing equipment was fried.
( link )
Se il fornitore di cavi non ha modo di indovinare l'identità dell'acquirente, le probabilità di exploit sono basse.
Tuttavia, mi sembra di ricordare che una rivista tedesca di computer aveva acquistato e testato cavi USB3 economici che erano stati cablati in modo errato da distruggere potenzialmente i dispositivi.
Ci sono anche intenzionalmente computer che distruggono i dispositivi USB in giro. Se qualcuno è solo uno stronzo, queste cose potrebbero entrare in circolazione anche se è più costoso da produrre rispetto a un cavo adeguato.
E le prime ondate di virus informatici non avevano alcun carico utile commerciale, quindi l'assholery non è poi così inaudito.
Dipende dalla tua definizione di "sicuro". È improbabile che un cavo di questo tipo conterrà un carico utile dannoso, ma è possibile che un cavo di questo tipo ti spii. C'è una vecchia presentazione di Powerpoint che gira su Internet, presumibilmente usata in una riunione interna da un'agenzia di spionaggio governativa, discutendo di un modo di spiare il tuo monitor attraverso i cavi. Questa presentazione sosteneva che questo dispositivo, delle dimensioni di alcuni chicchi di riso, era già in uso e che alcuni produttori di cavi accettarono di mettere questo dispositivo nei cavi che vendevano. Affermò che trasmetteva il segnale VGA rosso quando un raggio radio colpiva una piccola antenna radio in questo dispositivo di spionaggio. Sembra abbastanza plausibile, i chip RFID e NFC sono alimentati in modo simile.
La buona notizia è che se uno strano camion non è seduto fuori da casa tua, questo metodo non può funzionare. Se funziona con segnali digitali.
Completa divulgazione, questo Powerpoint potrebbe essere stato uno scherzo. L'hardware non è il mio punto di forza, né l'elettronica, specialmente non tutto ciò che riguarda le onde modulate.
Se vuoi fare qualcosa di malevolo, ad eccezione dell'abbattimento del dispositivo, devi collegare l'alimentatore per il tuo strumento.
I cavi USB A-B, A-mini, A-micro, A-Olympus, A-lightning sono solo conduttori. Tutta la comunicazione avviene tramite USB dirver nel computer e nel dispositivo. Nel cavo ci possono essere solo resistori e filtri passivi.
Il cavo e l'ipotetico dispositivo TLA sono progettati per funzionare con alimentazione a 5 V CC e segnali digitali.
Se si collegano 20 VCA tra qualsiasi coppia di pin, schermatura insignificante e qualcosa esplode, il cavo è stato modificato TLA e ha attinto energia da USB. Costruito qualcosa in grado di funzionare completamente con un'alimentazione compresa tra 0-1 kV , sia AC che DC è impossibile.
Se sei sospettoso del dispositivo TLA autoalimentato, puoi usare il buon vecchio X-Ray. Compra carta fotografica, conservala in una busta scura, inserisci le porte USB e posiziona il minerale di uranio su di esso. Sviluppa la fotografia il giorno successivo e otterrai l'ombra X-Ray dell'interno. Se è modificato TLA, vedrai circuiti extra.
Se pensi che non sia ancora abbastanza, puoi applicare un campo magnetico davvero strong e dinamico. EMP (nuke) o risonanza magnetica (NMR) sono capaci di tali shock magnetici. Ogni circuito indurrà abbastanza corrente per friggere se stesso. Se il cavo sopravvive, ne sei sicuro, non è stato modificato TLA.
Nel mondo reale, il dispositivo, che è capace di tutto ciò che è malevolo e che costa un piccolo sforzo (= denaro) da utilizzare come dispositivo casuale. Non c'è modo che l'atacker abbia idea di cosa stia per fare con il cavo: sono universali (cavi Serial Bus) - per esempio puoi usarli per ricaricare la tua bici.
Pertanto sono utili solo per l'attacco mirato. In tal caso, TLA sostituirà più probabilmente il cavo che già usi con quello potenziato con TLA. Se sei abbastanza paranoico, l'uso di cavi USB a basso prezzo acquistabili in modo casuale è il modo per essere sicuro, non sei monitorato TLA tramite la tecnica di ascolto e segnalazione plug-in USB. La procedura è: Acquista, usa, disponi. Nessun riutilizzo, nessuna archiviazione.
tl; dr :
L'utilizzo di cavi USB economici è, solo per l'infestazione TLA, completamente sicuro.