Circa due mesi fa, i ricercatori Karsten Nohl e Jakob Lell avevano scoperto una grave vulnerabilità nello standard USB, denominata BadUSB, che potrebbe essere sfruttata per prendere il controllo del PC. Il codice del malware non era stato pubblicato perché si tratta di un bug praticamente impossibile da risolvere. Durante la conferenza DerbyCon, altri due ricercatori hanno annunciato di aver effettuato il reverse engineering di BadUSB, ma questa volta il codice è stato rilasciato (è disponibile su GitHub).
Adam Caudill e Brandon Wilson ritengono che tutte le vulnerabilità dovrebbe essere divulgate pubblicamente, anche se ciò potrebbe causare molti problemi. I due ricercatori hanno rilasciato il codice sorgente del firmware modificato perché «è l’unico modo per fare pressione sui produttori dei dispositivi USB». Tra l’altro, il bug è già ampiamente sfruttato per azioni di sorveglianza da parte dei governi e delle agenzie, tra cui la NSA. Se il malware può essere sviluppato da persone con un basso budget, allora forse ci sarà più impegno nel trovare una soluzione.
Durante la conferenza DerbyCon, Caudill e Wilson hanno illustrato il funzionamento del loro malware, creato a partire dal firmware del controller Phison, uno dei più venduti nel mondo. Il firmware custom consente, ad esempio, di registrare i tasti premuti dall’utente e di inviare informazioni sensibili ad un server remoto. Il codice non è memorizzato nella memoria flash, quindi non può essere eliminato, né rilevato.
I due ricercatori sono al lavoro su un exploit che permette di trasferire il malware da un device USB al computer e dal computer ad un altro dispositivo USB, innescando così un’infezione a catena. L’unica soluzione per bloccare BadUSB è aggiungere un altro layer di sicurezza (ad esempio, una firma digitale), ma ciò significa riprogettare interamente lo standard USB. Nel frattempo, meglio evitare di collegare pen drive dalla provenienza sospetta.