Google nut op te spoor en te blokkeer uitgevoer met behulp van kwaadwillige USB-toestelle wat 'n USB-sleutelbord simuleer om fiktiewe toetsaanslae in die geheim te vervang (byvoorbeeld tydens 'n aanval kan daar 'n reeks toetsaanslagen wat lei tot die opening van 'n terminaal en die uitvoering van arbitrêre opdragte daarin). Die kode is geskryf in Python en gelisensieer onder Apache 2.0.
Die hulpprogram loop as 'n stelseldiens en kan in monitering- en aanvalvoorkomingsmodusse werk. In die moniteringsmodus word moontlike aanvalle opgespoor en aktiwiteit wat verband hou met pogings om USB-toestelle te misbruik vir invoervervanging word aangeteken. In beskermingsmodus, wanneer 'n potensieel kwaadwillige toestel opgespoor word, word dit op bestuurdervlak van die stelsel ontkoppel.
Kwaadwillige aktiwiteit word bepaal op grond van 'n heuristiese ontleding van die aard van die invoer en vertragings tussen toetsaanslagen - die aanval word gewoonlik in die teenwoordigheid van die gebruiker uitgevoer en om dit ongemerk te laat verbygaan, word gesimuleerde toetsaanslagen gestuur met minimale vertragings wat atipies vir normale sleutelbordinvoer. Om die aanvalopsporingslogika te verander, word twee instellings KEYSTROKE_WINDOW en ABNORMAL_TYPING voorgestel (die eerste bepaal die aantal klikke vir analise, en die tweede die drempelinterval tussen klikke).
Die aanval kan uitgevoer word met 'n onverdagte toestel met gewysigde firmware, byvoorbeeld, jy kan 'n sleutelbord simuleer in , , of (In die 'n spesiale hulpprogram word voorgestel om insette te vervang vanaf 'n slimfoon wat aan die USB-poort gekoppel is wat die Android-platform bestuur). Om aanvalle via USB te bemoeilik, kan jy benewens ukip ook die pakket gebruik , wat slegs verbinding van toestelle vanaf die witlys toelaat of die vermoë blokkeer om buitelandse USB-toestelle te koppel tydens skermslot en nie werk met sulke toestelle toelaat nadat die gebruiker teruggekeer het nie.
Bron: opennet.ru