Há um novo motivo assustador para não pegar emprestado o cabo do iPhone de um estranho

Más notícias: um hacker criou um cabo Lightning nocivo que permite que bandidos assumam o controle do seu computador. Pior notícia: agora está sendo produzido em massa.

Há um novo motivo assustador para não pegar emprestado o cabo do iPhone de um estranho

O cabo Lightning da Apple é um dos acessórios mais onipresentes do planeta. Introduzido pela primeira vez em 2012 com o lançamento do iPhone 5, ele já foi incluído em todos os iPhone, iPod Touch e iPad (com exceção dos iPad Pros de 2018). Ele é fornecido em bilhões de dispositivos.

Mas, embora cada gadget da Apple que requer um cabo Lightning venha com um, muitos de nós os perdemos, substituímos ou compramos extras. Muitas vezes também esquecemos nossos cabos em casa, o que nos leva a perguntar a um amigo - ou até mesmo a um estranho - se podemos pegar um emprestado para reativar um telefone morto. Isso nunca é mais evidente do que em um aeroporto ou em uma grande conferência. Você com certeza encontrará alguém perguntando se eles têm um cabo Lightning sobressalente para usar por um momento.

Mas, de agora em diante, pedir a um estranho para pegar um cabo Lightning emprestado ou aceitar a oferta de um estranho para lhe dar um, é a última coisa que você vai querer fazer se tiver escrúpulos em proteger seus dados. Isso porque um hacker criou o primeiro cabo Lightning que, quando conectado ao seu Mac ou PC, permitirá que alguém controle remotamente o seu computador. Pior, este cabo Lightning hackeado, chamado de Cabo O.MG, não é exclusivo. Ele está sendo produzido em massa nas fábricas para que qualquer pessoa possa comprá-lo e usá-lo para direcionar seus dados.



O perigoso cabo O.MG virá em breve do site Hak5.

Coisas de pesadelos de segurança

O cabo O.MG foi o primeiro Reportado por Placa-mãe Joseph Cox quando o pesquisador de segurança que o criou, uma pessoa conhecida como MG, demonstrou pela primeira vez seu protótipo feito à mão na conferência de hacking Def Con no verão passado. O cabo O.MG se parece com um cabo Lightning comum feito pela Apple e funciona exatamente da mesma - ele carrega um dispositivo e transfere dados de e para o dispositivo como um cabo Lightning autêntico.

No entanto, o cabo O.MG também contém um ponto de acesso sem fio integrado. Isso permite que os invasores executem comandos remotamente no Mac ou PC com Windows ao qual o cabo está conectado, o que permite que eles façam, bem, praticamente o que quiserem - incluindo ler ou até mesmo excluir seus dados. Depois que MG demonstrou o cabo do protótipo para Placa-mãe Cox, disse ele ao repórter, é como poder sentar-se ao teclado e ao mouse da vítima, mas sem realmente estar lá. Ele também disse que o cabo suporta tanto hackers que estão dentro do alcance do Wi-Fi quanto aqueles que podem estar acessando sua conexão pela internet. (Usar o cabo para carregar seu iPhone conectando-o à parede deve, teoricamente, ser seguro, já que seu Mac ou PC é vulnerável a ataques.)

A boa notícia na época era que o cabo O.MG precisava ser feito à mão e era relativamente caro - US $ 200 a unidade. Mas agora MG diz que encontrou uma maneira de produzir em massa o cabo em uma fábrica, o que permitirá que milhares deles saiam de uma linha de montagem.

O cabo está listado no site de hackers Hak5, onde clientes em potencial podem se inscrever para serem notificados quando estiver disponível para compra, sem preço ainda anunciado. Os sites Descrição deve causar arrepios em todos os setores de privacidade e segurança:

O cabo O.MG é o resultado de meses de trabalho que resultou em um cabo USB malicioso altamente dissimulado. Assim que o cabo é conectado, ele pode ser controlado por meio da interface de rede sem fio que reside dentro do cabo.

O cabo O.MG permite que novas cargas sejam criadas, salvas e transmitidas totalmente remotamente. O cabo foi desenvolvido com o Red Teams em mente, com recursos como cargas de inicialização adicionais, nenhuma enumeração USB até a execução da carga útil e a capacidade de apagar forense o firmware, o que faz com que o cabo volte totalmente a um estado inócuo. E esses são apenas os recursos que foram revelados até agora.

(O hacking do Red Team se refere a uma empresa que contrata especialistas em segurança para fazer todo o possível para invadir seus sistemas, expondo assim vulnerabilidades.)

Aparentemente, nenhum dado estará fora dos limites - e-mails, fotos, registros médicos, o que quiser - para o invasor para vítimas que conectam um desses cabos em seus computadores pensando que estão carregando seu iPhone.

Mantendo-se seguro

O cabo O.MG é a primeira ferramenta de hacking remota conhecida, disfarçada de cabo Lightning, a ser produzida em massa. No entanto, não é o primeiro cabo Lightning que pode causar danos aos seus dispositivos ou dados.

Logo depois que a Apple revelou o cabo em 2012, toda uma indústria caseira de cabos Lightning de terceiros inundou o mercado. Muitos desses cabos de substituição podem deixar um iPhone ou iPad vulnerável a danos causados ​​por picos de energia. Cabos Lightning de terceiros podem até representar risco de incêndio.

É por isso que a Apple executa o Programa MFi . O programa, que significa Made for iPhone / iPad / iPod, certifica que acessórios de terceiros, incluindo cabos Lightning, passam nos padrões de engenharia da Apple e são seguros para uso e não danificam o produto ou dados do usuário.

Quando você compra um cabo de iluminação, é importante verificar se o logotipo MFi está na embalagem. No entanto, esteja ciente de que fabricantes de acessórios inescrupulosos às vezes simplesmente carimbam o logotipo MFi em suas embalagens, sem realmente enviar seu produto para ser certificado. ( Apple oferece conselhos sobre como detectar cabos Lightning falsificados ou não certificados.)

Comprar um cabo Lightning diretamente da Apple é a coisa mais segura a se fazer. No entanto, comprar um cabo certificado MFi de um fabricante de acessórios de renome, como Anker, Belkin ou a marca AmazonBasics da Amazon, não deve apresentar nenhum risco.

Mas certificar-se de comprar um cabo Lightning certificado é apenas metade da batalha, agora que cabos maliciosos como o O.MG podem estar à solta. Assim como doces, você não deve aceitar um cabo Lightning de um estranho. Sem desmontá-lo, não há como você saber se aquele cabo é realmente uma porta de entrada para um estranho acessar seu computador. Da mesma forma, se você vir um cabo Lightning no chão ou deixado ao ar livre, aparentemente abandonado, não pense que apenas teve sorte.

Agora, é verdade que o cabo O.MG é provavelmente mais atraente para um hacker que tinha uma vítima específica em mente e está disposto a ir a extremos para fazer com que essa pessoa o use. Mas ainda é melhor ser excessivamente cauteloso do que se colocar em risco - e já sabemos que muitas pessoas são muito alegres sobre o que conectam em seus dispositivos. Em um experimento de pesquisa de 2016 envolvendo o descarte de unidades USB na Universidade de Illinois, quase metade das unidades foi conectado a um computador , geralmente dentro de algumas horas. Esses impulsos em particular apenas alertaram os pesquisadores e forneceram informações sobre como devolvê-los, mas poderiam ser muito mais perigosos.

Também é importante observar que os cabos Lightning não são o único tipo aberto a esse tipo de manipulação. Em teoria, os hackers agora podem criar um cabo USB-C ou MicroUSB incorporando uma conexão Wi-Fi perigosa. Acontece que o primeiro cabo construído para fazer isso foi um cabo Lightning. Mas certamente não será o último.