Невідомий кабель згорів? І слава богам! Про небезпеку кабелів.

Один з кращіх підписників скинув своє фото: просто заряджався телефон і раптом вибухнув кабель. Добре, що подія трапилася коли він був поруч, а якби телефон заряджався у ліжку, на стопці паперу, в іншій кімнаті або дитячій? Тут можна було б додати мораль і закінчити текст, якби це був канал про пожежну безпеку, але я трохи розкажу про інші загрози від кабелів. Трохи інженерії: всередині проклятого кабелю для айфона вбудовано чіп MFi - це не міф, це реальна програма "Apple MFi", яка захищає користувача (ХАХАХА, звичайно ж виробників аксесуарів) від підробок.

Підключаючи зарядку або навушники до телефону, ви ініціюєте перевірку сертифікату, і якщо телефон його розпізнає, він починає роботу. Так, ринок "Соллі" на Салтівці за підтримки дитячої праці в КНР виготовляє будь-який виріб для техніки Apple. Підключення такого девайсу може нашкодити вашому апарату, а може і ні, як пощастить. При цьому розміри такого кабелю збігаються з оригінальними, хоча вони не мають такого чіпу. Чому? Даю підказку: канал про кібербезпеку ;)

До вашої уваги представляю спосіб атаки на телефони і комп'ютери: Juice Jacking! Він полягає у тому, що при підключенні смартфона невідомим кабелем до невідомої зарядки ініціюється зовсім інший чіп, з набором команд для вашого пристрою. Наприклад, публічна USB-зарядка може імітувати пристрій розробника iOS, і телефон переходить у режим розробника, передаваючи 100% інформації на "комп'ютер". Цей режим потрібен для розробки програм (робив), і, можливо, для ремонту (не знаю, не робив). Ок, ви використовуєте свій ноутбук для зарядки свого телефону, але кабелем з Temu. І ціна від'ємна, за "купівлю" кабелю бонусів нараховано більше, ніж вартість. Чому? Уявимо на хвилинку в 2023 рік: США, звичайна операція з проникненням, але цього разу поліцейських цікавить не чергова бочка фентанілу, а пачка проводів з написом "O.MG Cable". Це будинок дешевого хакера, і він наповнений різними приблудами. Такі девайси були популярні в дотрампівську епоху, їх підкидали від звичайних роботяг до великих СЕО. При підключенні кабелю до комп'ютера "шнурок" позиціонував себе як клавіатуру, передаючі стандартні для клавіатури команди.

Коли на чіп подається живлення "клавіатура" починала швидко запускати команди, встановлювати з'єднання з ресурсами зловмисника, навіть набирати код для запуску на комп'ютері від імені користувача. У чому складність? Скопіювати останній введений пароль і скинути на якусь адресу - чому ні? В Україні він коштує майже цілу зарплату, але чи це багато, якщо ви точно побачили на ноутбуці жертви Приват24 та 6-значну суму грошей на рахунку, або купу інформації з грифом?

Хакер програмує введення команд, підкидає кабель жертві і просто чекає.  Про-версія може друкувати понад 800 символів на секунду, тобто якщо жертва відволіклася на хвилину, можна встигнути закинути на фонову передачу всіх файлів, паролів, ще й наваяти середненький лист з вибаченнями та побажанням гарного дня, чого я бажаю і вам!)