È possibile utilizzare un telefono cellulare compromesso per penetrare in un desktop o server?

@schroeder l'ha inchiodato. Un dispositivo USB dannoso può attaccare il tuo computer in vari modi: fingendo di essere un lettore CDROM contenente un CD su cui è presente un file autorun; fingendo di essere una tastiera USB. E c'è sempre la possibilità di una vulnerabilità sfruttabile nel software sul tuo computer, una vulnerabilità sfruttabile nel codice del driver USB.

Corretto: ti suggerisco di dare un'occhiata a juice jacking , che descrive come collegare il dispositivo a un dispositivo USB inaffidabile può compromettere il tuo dispositivo.

Combinando questi metodi, sarebbe tecnologicamente fattibile per un worm diffondersi dal computer al cellulare al computer, e così via. Fortunatamente, non abbiamo visto che sorgono molto nella pratica, ma potrebbe.

Sì

Quando si collega USB, si può fare molto. Il link qui sopra riguarda l'uso del telefono come tastiera USB, il che significa che è possibile eseguire comandi, scaricare ed eseguire software, ecc.

Ci sono virus che si diffondono tramite USB, in sostanza su Windows c'erano problemi con una "funzione" di esecuzione automatica. Su Linux diventerà un po 'più difficile perché il telefono potrebbe non essere montato automaticamente. Quindi potrebbe essere possibile su alcuni sistemi e meno probabilmente su altri. Inoltre ci sono stati altri attacchi oltre ai soli viruss.

Il fatto è che, una volta ottenuto l'accesso fisico a un server (che è necessario collegare il telefono), il fatto è che la sicurezza è piuttosto bassa. Ti affidi alla sicurezza fisica (guardie di sicurezza, serrature, porte ...) che le persone non possono semplicemente accedere al tuo equipaggiamento. Se hanno accesso fisico ci potrebbero essere altri scenari che sono più fattibili / pericolosi rispetto al collegamento di un telefono.

L'utilizzo di dispositivi USB per diffondere malware è già stato dimostrato come vettore di attacco molto vitale. Vedi: link L'articolo illustra come un mouse apparentemente innocuo è stato usato per infettare un PC.

Volevo aggiungere che se hai un telefono con wifi e bluetooth, non è necessario collegarlo al desktop (se la rete ha un componente wifi).

Non credo che nessuno stia pensando abbastanza in grande. Utilizzando le funzionalità fornite in molti dispositivi mobili moderni, credo che un utente malintenzionato, se guidato, potrebbe compromettere un host mobile (smartphone / tablet) e utilizzarlo per eseguire una serie di operazioni quali pivot, rouge-AP, analisi dello spettro remoto bluetooth / wifi. .. Probabilmente potresti fare un sacco di sfruttamento remoto attraverso la connessione 3G, e le schede micro SD possono contenere 2 TB (in teoria) quindi, è davvero una questione di chi, quando, cosa e dove.

Se sei un'impresa o un'azienda che ha bisogno di una politica dei dati più sicura, ti suggerisco di effettuare un "check-in" per tutti i dispositivi prima di inserire una struttura o un'area specificata.

Fidati di me quando dico che i dispositivi mobili non sono considerati abbastanza pesanti nella sicurezza aziendale. Lo stesso vale per qualsiasi dispositivo wireless come fotocamere personali con chip eye-fi wireless o qualsiasi router wireless personale.

Le reti PAN / BAN sono una vera minaccia in quanto possono avvicinarsi il più possibile all'obiettivo con il minor numero di resistenze. Come pensi che stuxnet sia stato distribuito? (un'unità flash)

Spero che aiuti; -0

Il tuo telefono può sicuramente penetrare nel tuo grosso cliente se c'è una qualche forma di connessione tra di loro. Esempi di questo, ma non limitato a:

• Collega direttamente il telefono al client, consentendone la diffusione come @schroeder ha sottolineato
• Approfitta dell'archiviazione e dell'esecuzione dei file dalla cartella Dropbox
• Avvia attacchi contro dispositivi wireless o di altro tipo che ti circondano

In questi giorni in cui hai lo stesso sistema operativo sul tuo telefono, tablet e PC puoi essere certo che i nuovi tipi di malware non avranno problemi a diffondersi e sfruttare da un dispositivo all'altro dove non è importante se si tratta di un telefono o un PC.

Nella mia scuola il dipartimento di Information Assurance ha realizzato questo takeover USB completo con un telefono Android.

link

InfoSec Island Articolo

InfoSec Island ha prodotto un articolo estremamente dettagliato che specifica il software specifico che può essere utilizzato per trasformare un dispositivo basato su Android root in una piattaforma Pen Testing / Hacking. Tracciano varie aree tra cui connettività USB, sfruttamento Wi-Fi e accesso remoto. Il link è sopra.