Je tomu nějaký pátek, kdy jsme vás informovali o štěnicích v elektrických spotřebičích z Číny. Asi málokoho by u nás mohl odposlech umístěný v žehličce či rychlovarné konvici nějak ohrozit, tehdy však bylo cíleno především na ruské politiky.

• Čínský odposlech v domácích spotřebičích: Rusové nacházejí štěnice uvnitř žehliček a konvic

Hrozbou může být kabel, e-cigareta či třeba fotorámeček

Hrozby ukryté v levné elektronice však podle všeho pokračují i nadále. Nejnovější případ ohrožuje kuřáky elektronických cigaret a jejich PC. Způsob „zdravého“ kouření se stal pro útočníky zajímavou cestou, jak dostat škodlivý malware mezi lidi. Nejedna e-cigareta se totiž nabíjí pomocí USB konektoru, k čemuž uživatelé často používají porty svých zařízení.

Případ konkrétně hovoří o případu, kdy jeden z napadených nakazil firemní síť malwarem. V konzultaci s bezpečnostními odborníky, kteří se jej ptali, zda v poslední době nezačal využívat novou elektroniku či služby si totiž vzpomněl, že se rozhodl skončit s běžným kouřením a přešel na elektronickou variantu.

Pro nabíjení zvolil kabel zakoupený na aukčním portálu eBay za 5 dolarů (110 Kč) a jak později zjistil, právě zmíněný kabel se stal zdrojem nákazy. Malware prý nakazil jeho pracovní stanici i přes aktualizovaný antivirový software.

Rik Ferguson, bezpečnostní konzultant Trend Micro, podobné incidenty potvrdil. „Malware ukrytý ve výrobcích tu máme již několik let, infikuje fotorámečky, MP3 přehrávače a další elektroniku,“ řekl. Že se to netýká jen levných produktů z Číny potvrzuje i případ z roku 2008, kdy se na instalační CD k fotorámečku Samsung dostal malware. To je ovšem trošku jiný druh šíření nákazy.

Nejedna elektronická cigareta se nabíjí způsobem, kdy se buďto přímo, nebo s pomocí speciálního kabelu připojí k USB v počítači. Pokud do zařízení útočníci umístí škodlivý kód, může se velmi snadno skrýt za firmware USB řadiče, což je hrozba nazvaná BadUSB.

Poutavá přednáška o BadUSB detailně vysvětluje princip hrozby. Jedním z největších ohrožení jsou prý podle přednášejících Android telefony

BadUSB v praxi? NSA prý o hrozbě ví řadu let

Jednat se může o využití tzv. chyby BadUSB, jejíž kód minulý měsíc uvolnila dvojice hackerů na GitHub. Činili tak prý právě proto, aby zamezili podobným útokům a donutili výrobce k nápravě. Chyba odhalená veřejnosti teprve v létě tohoto roku totiž umožňuje právě změnou firmwaru připojeného zařízení infikovat cílové zařízení bez toho, aby došlo k detekci hrozby antivirem. Problém však tkví v samotném návrhu standardu USB, který by musel projít větší změnou, což není nic snadného.