Il cavo per collegare l'iPhone che consente agli hacker di violare un dispositivo

raffaele angius

Il prossimo accessorio nella cassetta degli attrezzi di un hacker potrebbe essere quello che, all'aspetto, sembra un normale cavo per iPhone, ma che può diventare la porta d'accesso per i segreti del nostro telefono. Si chiama O.MG Cable, e oltre a richiamare l'acronimo comunemente utilizzato per esclamare “Oh Mio Dio” (Oh my God), incorpora anche le iniziali del suo creatore: MG. E proprio dal suo profilo Twitter, il ricercatore ed esperto di sicurezza informatica ha annunciato l'avvio della produzione di questo prodigioso quanto temibile articolo, che nasconde al suo interno un hotspot wireless che, una volta collegato a un dispositivo, può permettere a un attaccante di entrare nei file del nostro Mac o di uno smartphone Apple.

After months of work, I am now holding the very first fully manufactured #OMGCable. I can't wait to get these up on https://t.co/mVYIMD3v7g

Now time for a fully destructive teardown to make sure they meet all my requirements for a fully field-ready piece of attack hardware. pic.twitter.com/lMVBv5RRjw

— _MG_ (@_MG_) September 29, 2019

 

Presentato la prima volta durante Def Con 2019, uno dei più importanti eventi al mondo, O.MG era ancora un prodotto artigianale e realizzato in numero limitato. Già allora comunque, al costo di duecento dollari, chi voleva portarsi a casa questo gadget, che una volta connesso permette di eseguire una serie di funzioni da remoto sul dispositivo al quale è collegato, come per esempio aprire il terminale e impartire comandi al sistema operativo. Il tutto senza compromettere il comportamento atteso dal cavo, che funziona correttamente come caricatore e mezzo per il trasferimento di informazioni, in modo da non insospettire il bersaglio.

“È come essere seduti di fronte al mouse e alla tastiera della vittima senza essere davvero lì”, ha spiegato a Motherboard il suo inventore. Prodotto dall'azienda e collettivo di cyber esperti Hak5, O.MG “è il risultato di mesi di lavoro che hanno portato alla realizzazione di un prodotto malevolo estremamente nascosto”, si legge sul loro sito Internet. “Non appena il cavo è connesso, può essere controllato attraverso l'interfaccia network nascosta al suo interno”. 

Progettato per ragioni di studio o analisi, O.MG è pensato per il lavoro dei red team: squadre di esperti informatici che hanno lo scopo di mettere alla prova le vulnerabilità di aziende o istituzioni, alla ricerca di potenziali vulnerabilità e per migliorarne la sicurezza.

“Non si tratta di un attacco di per sé realmente innovativo, ma è stupefacente il grado di miniaturizzazione raggiunto”, ha spiegato ad Agi Carlo Maragno, esperto di sicurezza informatica e membro della squadra di hacker etici mHackeroni, che proprio a Def Con ha conquistato il quinto posto tra i team più prestanti a livello mondiale. “Il problema che deriva dalla diffusione di queste tecnologie è l'abbassamento della barriera d'ingresso nel mondo dell'hacking, di fatto dando la possibilità di compiere attacchi più complessi con uno sforzo minore”, spiega. “Per questo è sempre più importante prevenire, capire se possiamo essere bersaglio di un attacco mirato e mettere in campo delle strategie volte a evitare di diventare dei bersagli facili: in poche parole, non accettate cavi usb dagli sconosciuti”.

Ma non dei soli cavi dovrebbe temere un dispositivo: così come è possibile celare degli oggetti atti a offendere all'interno di un semplice accessorio, ancora più facile sarebbe farlo, per esempio, dentro le postazioni di ricarica di un aeroporto o di un centro commerciale. È sempre più diffusa infatti la possibilità di ricaricare un telefono tramite prese usb pubbliche, ma queste sono anche il luogo perfetto per nascondere strumenti progettati per acquisire informazioni dal dispositivo in uso. A tal proposito, negli ultimi anni si sono diffusi anche strumenti utili per prevenire attacchi simili, come i filtri usb che impediscono il passaggio di dati garantendo comunque alla corrente elettrica di raggiungere il dispositivo.