HackerがLockScreamをロードしてMacパスワードを盗むことができるLightningケーブルを導入
他の誰かの充電器を使用する背後にある潜在的なセキュリティの脅威について話したことを覚えていますか?さて、2018年8月にAppleセキュリティの欠陥を明らかにした同じ開発者は、ロック画面のパスワードを傍受するための完全に開発されたガジェットで戻ってきました。これらのガジェットがいつ市場に登場するかは明確ではありませんが、Macのパスワードが思ったほど安全ではないことは明らかです。
このエントリを教材として使用すると、Macのパスワードセキュリティを脅かすさまざまな攻撃者についての詳細を学ぶことができます。また、悪意のあるハッキングを防ぐために、少なくとも最も基本的なセキュリティ対策を適用することを忘れないでください。
Table of Contents
MGは誰ですか?
MGは、しばらく前に特定のAppleのセキュリティ上の欠陥を明らかにしたセキュリティ研究者です。ハッカーは彼自身のウェブサイトを持ち、さまざまなプロジェクトに関する最新情報を投稿しています。予想されるように、この研究者の個人的な詳細についてはあまり知られていませんが、彼の最新のプロジェクトの1つは、その応用のためにセキュリティの専門家に懸念を引き起こしています。このプロジェクトはO.MG Cableと呼ばれ、ロック画面のパスワードを傍受できるUSBケーブルです。
O.MGケーブルとは何ですか?
O.MGケーブルは、以前に明らかにされた脆弱性を悪用する、主にAppleデバイス用のカスタムUSBケーブルです。この脆弱性は、ハッカーが内部電源回路を変更できるApple充電器内の問題に関するものです。そのため、ハッカーがハードウェアをUSBケーブルに追加できる場合、ケーブルが接続されているデバイスを制御できます。つまり、Macのパスワードは、ハッキングされる可能性のある多くのものの1つにすぎません。
O.MGケーブルはどのように見えますか?まあ、それはあなたの通常のLightningケーブルのように見えます。これは、iPhone、iPod、およびiPadをコンピューターに接続する一般的なUSBケーブルです。ほとんどのUSBケーブルと同様に、同期と充電に使用できます。 O.MGケーブルが通常のLightningケーブルと異なるのは、ハードウェアに埋め込まれた小さなWi-Fiトランシーバーです。このトランシーバは、無線クライアントまたはアクセスポイントとして機能できます。したがって、誰かが適切なソフトウェアを使用してそのトランシーバーに接続すると、ユーザーもコンピューターにアクセスできるようになります。
幸いなことに、O.MGケーブルには距離制限があるため、ハッカーは侵入しようとしているデバイスから少なくとも半径100メートル以内にいなければなりません。デバイスにアクセスするには、ハッカーがMGからも提供されている携帯電話アプリが必要です。このプロジェクトの興味深い点は、ハッカーがそれから多くの利益を得ているように見えないことです。純粋な興味と好奇心から彼が取り組んでいるようなものです。 O.MG Cableについて説明しているブログ投稿によると、著者は「ほぼゼロ(マイナスの可能性が高い)利益プロジェクト」と呼んでいるため、研究者がお金のためにそれを行っていることはほとんどありません。
潜在的なペイロード
言うまでもなく、ケーブルを使用してさまざまなペイロードを配信できます。これらのペイロードの1つは、ロック画面のパスワードを傍受することにより、Macパスワードを簡単に盗むことができます。このペイロードはLockScreamと呼ばれ、これを使用する攻撃者は、最初にユーザーにランダムテキストメッセージを送信することでユーザーの注意をそらします。ユーザーがMacから気をそらされている間、ハッカーはO.MGケーブルを介してペイロードを送信し、このペイロードはMac画面をロックします。
ご存知のように、画面のロックを解除するには、Macパスワードをもう一度入力する必要があります。その瞬間、このペイロードはロック画面のパスワードを傍受します。そこからしばらくコンピューターを離れると、ハッカーは傍受したパスワードを使用してマシンのロックを解除し、機密の個人情報を盗むことができます。
Macのパスワードを盗む以外に、O.MG Cableは他のシステムへの攻撃にも使用できます。研究者は、ケーブルを使用できるUbuntuおよびWindowsシステムのペイロードもあることを指摘しています。それだけでは不十分な場合、このケーブルは、攻撃者ができるだけ長く隠れたままにできるように考案されています。
新しいUSBデバイスまたはケーブルをコンピューターに接続すると、接続されているものを実行するのに役立つドライバーをインストールしようとするため、コンピューターは通常そのことを通知します。一方、O.MGケーブルにはUSB列挙を回避できる機能があるため、影響を受けるユーザーには新しいUSBデバイス接続について通知されません。簡単に言えば、ケーブルには完全に機能するステルスモードがあります。
保護対策
O.MGケーブルの作成者がそれを隠そうとさえしないことは明らかです。そのため、一部のユーザーは、そのような活動が公開されている場合、それがどのように誰に影響を与えるのか疑問に思うかもしれません。
問題は、ユーザーがMacパスワードやその他の機密データを保護するための最も基本的なセキュリティ対策を採用していないことが多いことです。たとえば、 強力な暗号化アルゴリズムで保護する強力なアプリを使用する代わりに、同じパスワードを何度も再利用する傾向があります。
また、ユーザーは危険なハッカー攻撃の次の標的になる可能性があるとは思わないため、だまされやすいことがよくあります。闇市場ではどんな種類の情報も価値があることを忘れがちです。したがって、ユーザーは、デバイスと完全に互換性のある公式製品のみを使用することの重要性を理解していません。したがって、新しいケーブルを購入する場合は、公式ストアからのものであることを確認してください!また、他の人の充電器の使用には注意してください。また、急いでトイレに行くときは、コーヒーショップやその他の公共スペースにデバイスを放置しないでください。
これらは、デバイスの小さな構成要素であり、個人情報のセキュリティです。周囲の状況に注意し、サイバーセキュリティの習慣を身につけてください。潜在的なサイバーセキュリティの問題について詳しく知りたい場合は、人々が毎日犯す7つの大きなセキュリティミスに関するエントリをご覧ください。