Rob Fuller, un ricercatore specializzato in sicurezza informatica, ha individuato un metodo per rubare credenziali da qualsiasi Mac o PC. Il trucco consiste nell’usare un adattatore USB-Ethernet modificato ad hoc con un firmware che imposta il dispositivo sul computer-target come gateway di default, server DNS e Web Proxy Auto-Discovery Protocol (WPAD).
L’attacco è possibile perché la maggior parte dei moderni sistemi integra di default funzionalità che consentono di installare e attivare i dispositivi USB come plug-and-play (PnP). In pratica, anche se il sistema operativo non è attivo, la connessione di un dispositivo del genere, attiva le funzionalità per l’installazione PnP. “I moderni sistemi operativi (inclusi Windows 10 e OS X 10.11 El Capitan), spiega il ricercatore, “integrano funzioni che consentono di bloccare l’installazione automatica di dispositivi ma gli adattatori Ethernet/LAN sono identificati all’interno di una white list” e dunque si installano in automatico senza l’intervento dell’utente.
Inserendo il dispositivo malevolo nel computer, il sistema fornisce le credenziali di accesso locali per la sua installazione. Fuller ha modificato il dispositivo integrando un software che intercetta le credenziali e le salva in un database SQLite. Il ricercatore ha inoltre modificato il dispositivo integrando un LED che lampeggia quando le credenziali sono memorizzate.
Per portare a termine l’attacco, bisogna ovviamente accedere fisicamente alla macchina dell’utente; secondo il ricercatore all’attacker bastano ad ogni modo 13 secondi per installare il finto convertitore USB/Ethernet e ottenere quanto necessario. Il ricercatore ha testato il funzionamento su PC con Windows 98 SE, Windows 2000 con SP4, Windows XP con SP3, Windows 7 con SP1, Windows 10 (Enterprise e Home), OS X 10.9 Mavericks e OS X 10.11 El Capitan. Non ha ancora fatto verifiche ma è probabile che la tipologia di attacco funzioni anche con le varie distribuzioni Linux.
