A maioria das pessoas não pensa duas vezes antes de pegar um cabo de carregar telefone e conectá-lo. Mas o projeto de um hacker quer mudar isso e aumentar a conscientização sobre os perigos de cabos de carregador potencialmente maliciosos.

Um hacker pegou um cabo USB Lightning de aparência inocente e o montou com um pequeno implante habilitado para Wi-Fi, que, quando conectado a um computador, permite que um hacker próximo comande como se estivesse sentado na frente da tela.

Apelidado de cabo O.MG , ele parece e funciona quase indistintamente de um cabo de carregamento do iPhone. Mas tudo o que um invasor precisa fazer é trocar o cabo legítimo pelo cabo malicioso e esperar até que um alvo o conecte. A partir de um dispositivo próximo e dentro da faixa de Wi-Fi (ou conectado a uma rede Wi-Fi próxima), um invasor pode transmitir sem fio cargas maliciosas, seja a partir de comandos predefinidos ou do próprio código de um invasor.

Uma vez conectado, um invasor pode controlar remotamente o computador/celular afetado para enviar páginas de phishing de aparência realista para a tela da vítima ou bloquear remotamente uma tela para coletar a senha do usuário quando ele fizer login novamente.

MG focou sua primeira tentativa em um cabo Apple Lightning, mas o implante pode ser usado em praticamente qualquer cabo e contra a maioria dos computadores alvos.

“Este cabo Lightning específico permite cargas úteis de ataque multiplataforma, e o implante que eu criei é facilmente adaptável a outros tipos de cabos USB”, disse MG. “A Apple é a mais difícil de implantar, então foi uma boa prova de capacidades.”

Em seu trabalho como red teamer na Verizon Media, ele desenvolve métodos e técnicas inovadoras de hacking para identificar e corrigir vulnerabilidades de segurança antes que invasores mal-intencionados as encontrem. Embora seja um projeto pessoal, MG disse que seu cabo malicioso pode ajudar os jogadores vermelhos a pensar em se defender contra diferentes tipos de ameaças.

“De repente, agora temos hardware implantado pela vítima que pode não ser notado por períodos muito mais longos”, explicou ele. “Isso muda sua maneira de pensar sobre as táticas de defesa. Vimos que a NSA tem capacidades semelhantes há mais de uma década, mas não está realmente nos modelos de ameaças da maioria das pessoas, porque não é vista como bastante comum ”.

“A maioria das pessoas sabe ligar flash drives aleatórios nos dias de hoje, mas eles não estão esperando um cabo para ser uma ameaça”, disse ele. “Isso ajuda a impulsionar a educação em casa que é mais profunda”.

MG gastou milhares de dólares com seu próprio dinheiro e incontáveis ​​horas trabalhando em seu projeto. Cada cabo levou cerca de quatro horas para montar. Ele também trabalhou com vários outros hackers para escrever parte do código e desenvolver exploits, e distribuiu seu suprimento de cabos construídos à mão para os participantes da Def Con com um plano para vende-los online em um futuro próximo, disse ele.

Mas o cabo O.MG ainda não está pronto. MG disse que está trabalhando com outras pessoas para melhorar a funcionalidade do cabo e expandir seu conjunto de recursos.

“Isso realmente se resume a tempo e recursos neste momento. Eu tenho uma lista enorme na minha cabeça que precisa se tornar realidade ”, disse ele.