På Black Hat DC konferencen i USA har to forskere demonstreret at en almindelig smartphone kan bruges til at overtage kontrollen over computeren gennem en USB-forbindelse. I deres foredrag har de to forskere Angelos Stavrou og Zhaohui Wang vist at USB kan udgøre et alvorligt sikkerhedsproblem.
På scenen blev en Nexus One smartphone med Android koblet til en pc over USB, hvorefter computeren kunne fjernstyres fra telefonen.
Der er tale om en grundlæggende svaghed i håndteringen af USB-forbindelser. Hvis man f.eks. tilslutter et USB-tastatur i Windows eller Mac OS, bliver brugeren ikke spurgt, om man kan godkende at dette apparat skal have adgang til maskinen.
Men det åbner samtidig mulighed for, at USB kan misbruges til angreb på systemet. De nødvendige USB-microcontrollere er så små, at den anvendte elektronik kan gemmes i et almindeligt USB-kabel.
Det er endnu smartere at anvende en smartphone. Tricket er at snyde computeren til at tro, at der er tale om et USB-tastatur eller mus. Herefter kan man så sende kommandoer til maskinen eller klikke sig rundt for at kopiere filer, installere yderligere malware eller gøre andre ting for at få kontrol med computeren.
Forskerne fortæller at deres angrebsmetode fungerer med alle computere der bruger USB og det fungerer også mellem to smartphones der kobles sammen over USB.
Tricket kunne f.eks. udnyttes ved at inficere en computer over nettet, hvorefter inficeringen spreder sig til en smartphone når den tilsluttes. Næste gang denne smartphone sættes til en anden computer over USB, bliver denne computer så også inficeret, og så fortsætter det. Det er godt nok en meget langsom metode til spredning, men f.eks. Stuxnet har også spredt sig over USB.
De to forskere foreslår at operativsystemet skal spørge om tilladelse, hver gang man tilslutter en ny USB-enhed, så brugeren har mulighed for at afvise enheden. Desuden bør operativsystemet overvåge, hvilke data der overføres over USB-forbindelsen, og advare brugeren, hvis f.eks. en smartphone sender tastatur-kommandoer til computeren.