В августе немецкий специалист в области безопасности Карстен Ноль, известный тем, что обнаружил многочисленные уязвимости в сетях GSM, и Якоб Лель прочитали на конференции Black Hat в Лас-Вегасе лекцию о векторе атак в протоколе USB. Вредоносные программы могут проникать в любое USB-устройство - мышь, клавиатуру, USB-брелок, вебкамеру и т.д. Оборудование не играет роли, атакуются любые устройства.
Опасность атаки состоит в том, каким способом вредоносная программа проникает в систему, а также в том, что никакая программа не может отследить её. Вредоносная программа проникает в прошивку USB-контроллера, и никакая классическая антивирусная программа не может распознать её. Удаление также невозможно. Хорошо сделанная вредоносная программа остаётся незамеченной для антивирусных программ. Распространиться вирус может через другие USB-устройства, потому что он перезаписывается в прошивку других устройств. Он распространяется не классическим способом через файлы/программы, а прячется в прошивке оборудования, где его трудно распознать.
Карстен Ноль и Якоб Лель решили сначала не афишировать своей работы и дать шанс специалистам отреагировать на уязвимость. Они знали, что решение найти будет непросто, если вообще возможно. Уязвимое оборудование может быть защищено только в случае полной его замены. Учитывая, сколько в мире существует USB-устройств, сделать это не представляется возможным.
Адам Кодил и Брэндон Вилсон не стали ждать, адаптировали обнаруженный Нолем и Лелем вектор атак и разработали собственную версию BadUSB. Они также разработали несколько конкретных сценариев атак, вплоть до полного захвата системы. На Github находится исходный код атаки BadUSB. Они пошли противоречивым путём "полной открытости". По заявлению Кодила и Брэндона, такие службы, как Агентство национальной безопасности пользуются подобными атаками. Опубликовав свои данные, они хотят усилить давление на производителей, чтоб они сделали что-то для их предотвращения.
Сейчас опасность очень велика, потому что хакеры и власти могут использовать код Кодила и Брэндона и расширить его, и если раньше он действовал на некоторых USB-контроллерах, сейчас он может проникнуть в другие устройства. Это лишь вопрос времени - когда будут сделаны соответствующие настройки. Оба исследователя безопасности уже работают в этом направлении, но пока не уверены, стоит ли публиковать этот код.
Меры противодействия также готовятся. Неизвестные USB-устройства не следует использовать в чувствительных зонах. G-Data уже разработала ПО, распознающее "чужое" USB-оборудование и требующее его подтверждения. Если оборудование будет заменено незаметно для пользователя, в этих мерах смысла нет.
Наибольший эффект могут принести действия производителей USB-устройств. Безопасный USB-контроллер уже существует, он дороже обычного контроллера, и потому не пользуется спросом у производителей. Конечно, всё использованное ранее USB-оборудование останется уязвимым для таких атак. Но брешь можно закрыть.