Google lietderība , ļaujot izsekot un bloķēt tiek veiktas, izmantojot ļaunprātīgas USB ierīces, kas simulē USB tastatūru, lai slēpti aizstātu fiktīvus taustiņu nospiešanas (piemēram, uzbrukuma laikā var būt klikšķu secība, kas noved pie termināļa atvēršanas un patvaļīgu komandu izpildes tajā). Kods ir rakstīts Python un licencēts saskaņā ar Apache 2.0.
Lietderība darbojas kā sistēmisks pakalpojums un var darboties uzraudzības un uzbrukumu novēršanas režīmos. Uzraudzības režīmā tiek identificēti iespējamie uzbrukumi un žurnālā tiek reģistrētas darbības, kas saistītas ar mēģinājumiem izmantot USB ierīces citiem mērķiem ievades aizstāšanai. Aizsardzības režīmā, kad tiek atklāta potenciāli ļaunprātīga ierīce, tā tiek atvienota no sistēmas draivera līmenī.
Ļaunprātīga darbība tiek noteikta, pamatojoties uz ievades rakstura heiristisko analīzi un aizkavi starp taustiņsitieniem - uzbrukums parasti tiek veikts lietotāja klātbūtnē un, lai tas paliktu neatklāts, simulēti taustiņsitieni tiek nosūtīti ar minimālu aizkavi. netipiski parastai tastatūras ievadei. Lai mainītu uzbrukuma noteikšanas loģiku, tiek piedāvāti divi iestatījumi: KEYSTROKE_WINDOW un ABNORMAL_TYPING (pirmais nosaka analīzei veikto klikšķu skaitu, bet otrais - sliekšņa intervālu starp klikšķiem).
Uzbrukumu var veikt, izmantojot neaizdomīgu ierīci ar modificētu programmaparatūru, piemēram, varat simulēt tastatūru , , vai (in tiek piedāvāta īpaša utilīta, lai aizstātu ievadi no viedtālruņa, kurā darbojas Android platforma, kas savienota ar USB portu). Lai sarežģītu uzbrukumus, izmantojot USB, papildus ukip varat izmantot arī pakotni , kas ļauj savienot ierīces tikai no baltā saraksta vai bloķē iespēju pievienot trešās puses USB ierīces, kamēr ekrāns ir bloķēts, un neļauj strādāt ar šādām ierīcēm pēc lietotāja atgriešanās.
Avots: opennet.ru