Praktički ne postoji osobno računalo bez USB povezivosti, a zahvaljujući standardu on istovremeno služi i za mobilne uređaje - kako njihovo punjenje, tako i podatkovne prijenose. Novo istraživanje otkriva kako u samoj srži komunikacijskih funkcija ovog standarda postoji ozbiljan sigurnosni problem
Karsten Nohl i Jakob Lell su istraživači čiji prilično problematičan izvještaj o sigurnosti prenosi Wired. Nohl i Lell su kopanjem po firmwareu koji kontrolira osnovne komunikacijske funkcije USB-a otkrili kako je moguće napisati malware kod, kojim je pak moguće potpuno preuzeti kontrolu nad računalom.
Osim kontrole nad računalom je moguće preusmjeravati internetski promet inficiranog računala, mijenjati datoteke na neprimjetan način i sl. Praktički svi USB uređaji, tipkovnice, miševi, pametni telefoni - posjeduju kontrolni čip koji omogućuje računalu slanje i primanje podataka. Upravo tu su istraživači pronašli rupu, jer malware kod kojeg su kreirali ne leži u memoriji uređaja (npr. sticka) već u firmwareu. Antivirusni softver neće pronaći ništa na uređaju koji je spojen na računalo. To uglavnom neće moći niti stručnjaci iz IT odjela raznih kompanija - upravo zbog toga što je riječ o iskorištavanju sigurnosne rupe koja se nalazi u srži USB standarda.
Ako je tko mislio da ne može gore - može. Virtualno je nemoguće provjeriti je li firmware USB kontrolera mijenjan, a uređaj spojen na računalo će ga inficirati, koje će pak inficirati druge USB uređaje...
Neki od izvora kojima raspolaže Wired smatraju kako je NSA već mogao koristiti spomenutu tehniku kako bi odrađivao špijunažu ljudi. Istraživački duo će svoje pronalaske otkriti na Black Hat konferenciji vezanoj za sigurnost u Las Vegasu. Za sada je jedino moguće izbjegavanje infekcije tako da se uređaje ne priključuje na računala kojima se ne vjeruje. S druge strane, s obzirom na to da se infekcija može prenijeti i najobičnijim mišem/tipkovnicom, opasnost je doista velika.
'Ovi problemi se ne mogu zakrpati', rekao je Nohl za Wired, naposljetku dodavši kako nije sigurno koliko malware koda će uopće otkriti na nadolazećoj konferenciji zbog opasnosti od širenja. Implementacija kakvog sigurnosnog modela će tražiti brzu akciju proizvođača uređaja.