„Nejnebezpečnější USB kabel na světě se právě stal ještě nebezpečnějším,“ hlásá nová reklama, která by měla sloužit jako varování pro všechny, kteří si půjčují kabely pro iPhone, iPad nebo telefon s Androidem. Pokud totiž takový kabel připojíte do svého zařízení, nezjistíte, že jste se stali terčem útoku až do chvíle, kdy je příliš pozdě.
Ještě před pár lety to bylo trochu sci-fi. Podle webu Hak5, který prodává zboží navržené k testování zabezpečení zařízení a systému, jste „dříve pro vytvoření takového kabelu potřebovali několikamilionový rozpočet“. Nebo mít za kamaráda Mikea Grovera, o kterém bude ještě řeč. Jenže nyní vám stačí pouhých 140 amerických dolarů a účet na PayPalu.
Seznamte se s kabelem O.MG Lightning, tak dokonalou replikou originálního kabelu od Applu, že nemáte šanci poznat rozdíl. Rozdíl je ovšem v tom, že tenhle kabel je uvnitř technologicky mnohem vybavenější než ten, který dostanete od výrobce spolu s telefonem.
O.MG útočné kabely se do povědomí veřejnosti poprvé dostaly na konferenci DEFCON v roce 2019. V té době plnil hlavní titulky novin takzvaný juice jacking. Určitě si pamatujete tu hysterii.
„Nepoužívejte veřejná dobíjecí místa, můžete přijít o veškerá osobní data,“ psalo se tehdy. Hrozba spočívala v tom, že užitečný USB port, do kterého si na cestách připojíte kabel, mohl být tajně připojen ke skrytému počítači, který tak získal k vašemu telefonu přístup.
„Dobíjení zdarma tak může skončit vysátím vašeho účtu,“ varovala třeba kancelář losangeleského státního zastupitelství. Podobná vyjádření trochu přecenila reálnou hrozbu pro běžného uživatele, přes veškerou hysterii ale nabízela dobrou radu. Opravdu byste neměli připojovat svůj odemčený telefon do náhodného USB portu.
Pokud už potřebujete dobíjet telefon na veřejnosti, použijte originální a ideálně svou vlastní nabíječku zapojenou přímo do elektrické sítě. Pamatujte, USB kabely jsou přímo vyrobeny nejen pro nabíjení, ale i pro přenos dat.
O.MG kabely jsou ale odlišné téma a mnohem zákeřnější problém. U nich totiž nezáleží na tom, do čeho je zapojíte, protože na váš telefon útočí samotný kabel, respektive technologie, které jsou v něm umně ukryté. A útočník díky nim snadno získá přístup třeba k vaší soukromé wi-fi či k placeným úložištím a díky odezírání stisknutých kláves dokáže také jednoduše zjistit, jaké heslo jste zadali nebo co jste napsali.
Navíc může být každý kabel jednoduše ovládán na dálku skrz webové rozhraní, jelikož se dokáže sám připojit k internetu. Tyto kabely přitom nebyly navrženy k útokům na iPhony, ale k útoku na počítače, ke kterým byl telefon připojen kvůli nabíjení či synchronizaci.
Jejich vynálezce jménem Mike Grover původně každý kabel dával dohromady ručně a bylo poměrně snadné ho odlišit od originálu. „V té době jsem chtěl hlavně zjistit, jestli do kabelu dokážu vměstnat něco dostatečně maličkého,“ říká Grover.
Ovšem po nějaké době už byl design kabelů perfektní a dnešní modely jsou od originálů k nerozeznání. USB-A kabely byly navíc nahrazeny i modernějšími USB-C kabely, a proto jsou v ohrožení i iPady Pro a mnoho dalších smartphonů s Androidem.
Grover si ke zkompromitování vybral kabel Lightning od Applu proto, že podle něj představoval největší výzvu. Tento kabel je totiž malý, těsný a elegantně vyrobený. Přesto uspěl.
Grover rozhodně nechce nijak pomáhat hackerům, nejsou to jeho kabely, kterých byste se museli nějak zvlášť bát. Jeho cílem je dát veřejnosti varování. Protože když kabel Lightning dokáže tímhle způsobem upravit on, dokážou to i jiní. A o jejich kabelech už vědět nebudete.
Možná to zní jako záležitost z nějaké tajné vládní laboratoře, která disponuje rozpočtem v řádu milionů dolarů. A mnoho let tomu tak i bylo. Tento typ zařízení je ostatně oblíbeným nástrojem řady zpravodajských agentur. Časy se ale mění a zdá se, že tahle technologie je a bude dostupnější stále většímu počtu lidí.
Jednou z Groverových misí je proto i práce pro nejrůznější podniky a organizace, v rámci které se svým týmem vede cvičné útoky proti tamním zaměstnancům s cílem zpronevěřit jejich data. A současně jim dát tvrdou lekci ohledně nutnosti zvýšit bezpečnost během cestování.
Přechod na USB-C a Lightning není na tomto poli jedinou změnou. Úložiště v kabelu jsou nyní větší, což otevírá prostor pro přímý malware útok. Zároveň jsou tu nové „útočné módy“, kdy jsou kabely schopné se sami spustit, když jsou v cílovém zařízení. Dokážou také zachytit údery kláves uživatele a vkládat své vlastní. To umožní sbírat informace v momentě, kdy je uživatel přítomný, a zaútočit, když přítomný není.
Možná že na takový kabel nemáte moc velkou šanci někde narazit, ale už rozhodně neplatí, že je tahle technologie dostupná jen špionům hollywoodských scenáristů. Jak moc byste se jich měli obávat, přímo závisí na tom, jak důležité informace od vás mohou útočníci získat.
Ve hře je i důvěryhodnost podniků, protože se zvyšuje příval ransomware útoků a útoků na kritickou infrastrukturu a dodavatelské řetězce. Ve světě, kde kriminální kybernetické útoky dokážou z korporátních účtů vysát stovky milionů dolarů, je těžké nepředstavovat si, kam by mohly být tyhle peníze investovány.
Přímo Groverův nový kabel není tím nejnebezpečnějším kabelem na světě. Záměrně svým kabelům totiž zabránil v tom, aby dokázaly zaútočit na telefony během nabíjení a synchronizace. „Takže máte velmi omezenou možnost zneužití, aniž byste znali cíl,“ vysvětluje.
Jeho kabel je navržený pro ukázky, trénink a testování. A jako užitečný nástroj, jak ukázat zaměstnancům zranitelnost jejich dat. Ovšem kabely, které se prodávají online, nejsou ty, ze kterých je třeba mít strach.
„Toto není ten typ hrozby, na kterou narazí běžný člověk,“ říká Grover. Neskončí to podle něj tím, že budou tyto kabely všude dostupné. „Ne však proto, že by to nebylo proveditelné. Spíš proto, že to nedává moc velký smysl, jelikož jsou mnohem snazší cesty, jak na někoho zaútočit,“ vysvětluje. Pro útok na širokou populaci se tak tyhle kabely příliš nehodí, respektive neposkytují žádnou velkou výhodu oproti jiným nástrojům.
Rozhodně to ale podle Grovera je hmatatelný důkaz toho, čeho všeho lze pomocí upravených kabelů dosáhnout.
Pokud cestujete za prací, jste ve vládě nebo v nějakém klíčovém průmyslovém odvětví, popřípadě pokud jste celebrita, významný právník nebo třeba novinář, měli byste zpozornět a brát existenci této technologie na vědomí. Doporučení je jasné: nikdy nepoužívejte žádné kabely, u kterých si nejste jisti jejich původem.