北京
一根看起來再普通不過的USB充電線,塞進了一顆能跑Wi-Fi的微型處理器、一張可插拔的存儲卡,還能遠程操控你的電腦鍵盤。這不是諜戰(zhàn)片道具,而是一款叫Hacknect的產(chǎn)品正在Kickstarter上眾籌,單價82美元起,離結(jié)束還有三周已經(jīng)超額完成目標(biāo)。
做這東西的團隊叫Little Gadgets。他們把樂鑫的ESP32-S3芯片——一塊通常出現(xiàn)在開發(fā)者板上的物聯(lián)網(wǎng)處理器——塞進了USB-A接頭的塑料殼里。從外表看,兩頭都不顯得臃腫,紅白兩色的線材和你在抽屜里翻出來的備用線沒什么兩樣。但插進電腦后,它能做的事遠超充電和傳文件。
ESP32-S3本身是為AIoT場景設(shè)計的,自帶2.4GHz Wi-Fi和藍牙5.0,I/O接口豐富,軟件生態(tài)成熟。Little Gadgets的改造讓它變成了一個隱蔽的遠程控制終端。通過瀏覽器打開的網(wǎng)頁界面,用戶可以觸發(fā)一系列功能:模擬鍵盤高速輸入指令、控制鼠標(biāo)移動軌跡、無線部署預(yù)設(shè)的攻擊腳本。microSD卡直接插在USB-A接頭的實心側(cè),用于本地存儲多個"載荷"文件。甚至還有個"自毀模式",能快速擦除卡內(nèi)數(shù)據(jù)。
產(chǎn)品頁列出的功能清單既像極客玩具,又像安全噩夢。HID鍵盤注入是這類設(shè)備的經(jīng)典用法——電腦會把插入的Hacknect識別成標(biāo)準鍵盤,從而繞過不少安全軟件的防護。遠程載荷執(zhí)行意味著攻擊者不需要物理接觸,只要和目標(biāo)處于同一網(wǎng)絡(luò)就能操作。而"看起來像普通日常線纜"被明晃晃地寫進了賣點。
Little Gadgets給這款產(chǎn)品的定位是"為創(chuàng)客、開發(fā)者、愛好者和網(wǎng)絡(luò)安全學(xué)習(xí)者打造"。這個表述值得玩味。在網(wǎng)絡(luò)安全培訓(xùn)領(lǐng)域,BadUSB類型的工具確實有正當(dāng)用途:紅隊演練、滲透測試教學(xué)、企業(yè)安全意識培訓(xùn)。但硬件本身無法區(qū)分使用場景,82美元的門檻也足夠低。眾籌頁面的評論區(qū)里, backers的討論集中在技術(shù)實現(xiàn)細節(jié),沒人追問銷售端的身份審核機制。
一個細節(jié)是產(chǎn)品說明的模糊之處:Hacknect"似乎"能當(dāng)普通數(shù)據(jù)線和充電線用,但microSD的存儲空間是否對連接的兩端設(shè)備可見,原文沒說清楚。如果存儲區(qū)被隱藏,它就更像一個單向植入裝置;如果可見,則多了一層偽裝性。這種技術(shù)文檔里的語焉不詳,在眾籌硬件項目中并不罕見。
Hacknect的火爆某種程度上反映了兩個并行趨勢。一是ESP32系列芯片的模塊化讓硬件創(chuàng)新門檻持續(xù)降低,把開發(fā)板功能塞進消費品外形變得越來越便宜。二是網(wǎng)絡(luò)安全意識的普及催生了"以攻代防"的學(xué)習(xí)需求,帶動相關(guān)工具的市場化。問題在于,當(dāng)攻擊工具和消費電子的界限被刻意模糊,誰在使用、如何使用,往往比技術(shù)規(guī)格更難追蹤。
眾籌還有三周,最終銷量可能會進一步攀升。對于 backers來說,這是一根能遠程操控電腦的"魔法線";對于被它插入的電腦主人來說,可能直到數(shù)據(jù)泄露都不會意識到風(fēng)險來自一根看似無害的充電線。Little Gadgets強調(diào)的"學(xué)習(xí)用途"能否在實際使用中成立,Kickstarter的評論區(qū)不會給出答案。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
