Google
Das Dienstprogramm wird als systemd-Dienst ausgeführt und kann im Überwachungs- und Angriffsschutzmodus betrieben werden. Im Überwachungsmodus werden mögliche Angriffe identifiziert und Aktivitäten im Zusammenhang mit Versuchen, USB-Geräte für andere Zwecke zur Eingabesubstitution zu verwenden, im Protokoll aufgezeichnet. Wenn im Schutzmodus ein potenziell schädliches Gerät erkannt wird, wird es auf Treiberebene vom System getrennt.
Schädliche Aktivitäten werden anhand einer heuristischen Analyse der Art der Eingabe und der Verzögerungen zwischen Tastenanschlägen ermittelt. Der Angriff wird normalerweise in Anwesenheit des Benutzers ausgeführt. Damit er unentdeckt bleibt, werden simulierte Tastenanschläge mit minimalen Verzögerungen gesendet untypisch für normale Tastatureingaben. Um die Angriffserkennungslogik zu ändern, werden zwei Einstellungen vorgeschlagen: KEYSTROKE_WINDOW und ABNORMAL_TYPING (die erste bestimmt die Anzahl der Klicks für die Analyse und die zweite das Schwellenintervall zwischen den Klicks).
Der Angriff kann mit einem unverdächtigen Gerät mit modifizierter Firmware durchgeführt werden, beispielsweise kann man darin eine Tastatur simulieren
Source: opennet.ru