На конференцию DEF CON 2019 в Лас-Вегасе (штат Невада, США) эксперт по безопасности Майкл Гровер, известный в Twitter под ником_MG_ пришел во все оружии — он принес с собой и разбросал на территории конференции несколько десятков упаковок со своим «хакерским» кабелем Lightning, который ничем не отличается от официального кабеля для гаджетов Apple и исправно выполняет все необходимые функции, правда в беспроводном режиме одаряя самого _MG_ контролем над Макбуками и другими ноутбуками на расстоянии до 90 метров.
Полное описание фейкового кабеля «O.MG Cable» приведено тут и по этой ссылке.
Ссылка на GitHub O-MG.
Данный фейковый кабель «O.MG Cable» — проект, который был полностью задуман, разработан и создан _MG_ и его командой, хотя он на конференции DEF CON 27 тонко намекнул, что некоторые хакеры по всему миру уже могут пользоваться подобными технологиями.
Эта кабельная «самоделка» внешне неотличима от оригинального кабеля Apple, за исключением незаметного встроенного передатчика с Wi-Fi адаптером, незаметно скрытого внутри одного из разъемов кабеля.
Когда жертва хакера подключает свой iPhone через этот кабель к макбуку… начинается хакерская магия в пределах радиуса действия встроенного Wi-Fi адаптера (около 90 метров).
При подключении смартфона с помощью кабеля «O.MG Cable» к компьютеру с Linux, Mac или Windows, происходит активация Wi-Fi адаптера в данном кабеле и хакер может получить полный контроль над системой, позволяя выполнять команды удаленно и перехватывая данные пользователя.
Кабелем «O.MG Cable» используется уязвимость почти любой операционной системы современных компьютеров, ведь они определяют кабель как часть устройства ввода, то есть смартфона и позволяют ему работать без блокировки и даже скрытно.
После подключения к ноутбуку:
— кабель определяется системой как HID (Human Interface Device), то есть USB-девайс для взаимодействия с человеком (обычно это клавиатура, мышь, игровой контроллер и так далее)
— беспроводной адаптер внутри кабеля получает собственный IP-адрес, используя который хакер получает почти полный и удаленный контроль за ноутбуком;
— кабель поставляется уже с готовыми пейлоадами.
«Это фейковый кабель, но выглядит и работает как обычный зарядный кабель для iPhone. Даже ваш компьютер не заметит разницы. Пока я, как злоумышленник, не возьму удалённый контроль на себя», — пояснил Майкл Гровер.
На проект «O.MG Cable» были потрачены тысячи долларов и усилия Майкла Гровера и еще нескольких талантливых специалистов.
На сборку одного фальшивого кабеля «O.MG Cable» у команды Майкла Говера уходит около четырех часов.
Майкл Гровер планирует в дальнейшем продавать кабель «O.MG Cable» как легитимный инструмент для пентестеров и специалистов по информационной безопасности, пока что он оценил его стоимость в 200$, так как переделывать оригинальные кабели Apple вручную оказалось непростой задачей.
Например, весь «O.MG Cable» на одной из площадок на данный момент уже продан.
Во по этой ссылке Майкл Гровер в небольшом видео показал, как он делал этот кабель и что с его помощью можно сотворить.
Производство кабеля:
Тестирование работы кабеля:
Перехват данных:
В общем, раньше пользователей ругали ИБ-специалисты за то, что те флэшки на улице подбирают, а теперь будут ругать за кабели!