有設密碼也沒輒，駭客只用5美元的樹梅派Zero就能在筆電植

william77

資安專家在Raspberry Pi Zero上安裝了開源執行環境Node.js，利用軟體把Raspberry Pi Zero偽裝成乙太網路裝置，然後藉由USB或Thunderbolt介面連至受到密碼保護或被鎖住的電腦上。

美國知名駭客暨安全研究人員Samy Kamkar在本周展示了如何以只要5美元的單板電腦Raspberry Pi Zero在受到密碼保護的電腦上植入後門程式。
去年11月問世的Raspberry Pi Zero尺寸只有65mm x 30mm x 5mm，也是Raspberry Pi系列最便宜也最精簡的版本，上有處理器、記憶體、SD Card插槽、mini-HDMI接口及Micro-USB接口等，售價只要5美元。
Kamkar在Raspberry Pi Zero上安裝了開源執行環境Node.js，利用軟體把Raspberry Pi Zero偽裝成乙太網路裝置，然後藉由USB或Thunderbolt介面連至受到密碼保護或被鎖住的電腦上。
這是因為不論是Windows、macOS或Linux等平台皆能辨識乙太裝置，且不管電腦是否處於受保護的狀態下皆會自動載入它，將其視為低優先順序的網路裝置並執行DHCP請求。
Kamkar把該改裝後的Raspberry Pi Zero命名為PoisonTap，它能挾持該電腦上的所有流量，汲取與儲存瀏覽器造訪全球前100萬個網站的HTTP cookie與期間，並曝露內部的路由器以供遠端存取。
此外，PoisonTap可於瀏覽器與路由器上植入後門程式，就算移除了PoisonTap，後門將會繼續存在且仍允許駭客遠端存取。
此一攻擊可繞過許多安全機制，包括密碼保護、雙因素認證、同源政策及DNS Pinning等。Kamkar向科技部落格TechCrunch表示，如果他是微軟或蘋果，他會讓系統只自動接受滑鼠與鍵盤，若需連結其他USB裝置時都必須徵求使用者的同意。微軟則說，此一攻擊必須實際接觸電腦，使用者應避免將電腦留在無人看守的地方。

lux169

厉害

shuobing

能识别外部设备就会有漏洞

坟地找鬼

厉害