Em julho, os pesquisadores Karsten Nohl e Jakob Lell anunciaram que tinham encontrado uma falha crítica de segurança chamaram BadUSB, que permitia que hackers colocassem malwares em dispositivos USB.
Até então não parecia haver uma solução clara para o ataque. Qualquer um que conectasse um pendrive USB seria exposto ao ataque, e porque o código ruim estava dentro do firmware, era difícil se proteger sem ter que redesenhar completamente o sistema. A única boa notícia foi que Nohl e Lell não publicaram o código, para que a indústria tivesse algum tempo para se preparar para um mundo sem USB.
Mas agora parece que as coisas podem mudar: Em uma palestra conjunta na DerbyCon, os pesquisadores Adam Caudill e Brandon Wilson anunciaram que tiveram sucesso em reverter o BadUSB, e até publicaram o código.
A dupla publicou o código no GitHub, e demonstrou vários usos para ele, incluindo um ataque que toma conta da entrada de teclado do usuário e passa o controle para o atacante.
De acordo com Caudill, o motivo para a revelação do código foi de colocar pressão sobre os fabricantes: “Se as únicas pessoas que podem fazer isso são aquelas com orçamentos significativos, os fabricantes nunca vão fazer nada sobre isso”, disse. “Você tem que provar para o mundo que [o ataque] é prático, que qualquer um pode fazê-lo”.
Assista a palestra de Adam Caudill e Brandon Wilson (em inglês) abaixo: