Un dispositivo USB con "firmware manipolato" può sicuramente fare cose cattive. Per un caso estremo, vedi questa risposta : il dispositivo USB potrebbe dire al sistema operativo "hey, I am the FireWire convertitore X-to-USB, per favore scarica il mio driver dal tuo fornitore, quindi concedimi l'accesso DMA completo quando lo dico ". Sebbene sia teorico, non si tratta di fantascienza, ed è sicuramente spaventoso.
Per configurazioni più banali, incluse alcune effettivamente verificate, vedi questa risposta .
Anche se il dispositivo USB è "solo" un'unità USB con un firmware onesto e un file system vuoto, ha ancora un settore di avvio (il primo settore, quello contenente la tabella delle partizioni) che è il codice; ma quello sarà attivato solo se l'utente tenta di avviare la sua macchina via USB (questo ha funzionato a meraviglia nell'era del floppy disk, perché la maggior parte delle macchine proverebbe a fare il boot dal floppy se presente, al giorno d'oggi, se quasi tutti i PC possono avvia da un'unità USB, la maggior parte non proverà per impostazione predefinita.