在最新的调查中,工业 CT 扫描制造商 Lumafield 通过 CT 扫描技术揭露了某些 USB-C 电缆内部的秘密:一些 USB-C 电缆被设计为包含隐蔽的监视功能。

这些电缆并非普通产品,而是专为渗透测试设计的“O.MG”USB-C 电缆,其内含复杂且高度隐蔽的电子组件,在常规检查下几乎无法被发现。这次调查不仅展示了现代电子设备的精密制造水平,还突显了物理硬件可能成为网络攻击载体的安全隐患。

高度隐蔽技术的具体体现

由 Lumafield 的产品负责人 Jon Bruner 发布的 CT 扫描图像揭示了“O.MG”电缆内部令人惊讶的结构。与普通的 Amazon Basic USB-C 电缆相比,“O.MG”电缆内部隐藏着复杂的电子装置,包括双重结构的电路板和其它精巧的设计,这远超出了传统意义上的电缆概念。这种设计使得即使是最先进的质量控制流程也难以察觉其特殊性。

特别值得注意的是,安全研究员 Mike Grover 所设计的这款电缆采用了双层隐蔽技术。首先,电缆连接器部分嵌入了一个天线,这可能是为了实现无线通信或数据传输。更进一步的研究发现了主微控制器下方隐藏的第二个集成电路芯片,这一设计位置巧妙,使得传统的二维X射线检测几乎无法发现它的存在,显示出极高的工程设计水准和技术含量。

电缆内置功能的广泛性和威力

“O.MG”电缆的功能强大而多样,它能够记录键盘输入、模拟按键操作、远程控制鼠标,并基于地理位置信息来激活特定行为(如地理围栏)。这些功能让电缆可以在看似正常工作的同时,实际上却可以完全控制连接的设备,成为潜在的安全威胁。

对供应链安全性的警示

此次调查最初是出于对 Apple Thunderbolt 4(USB-C)Pro 电缆内部结构的好奇。随着技术的进步,将高性能电子元件集成到最小空间的能力显著提升,但这也带来了新的安全风险。例如,简单的充电电缆可能内藏复杂的电子设备,这对供应链安全性提出了新的挑战。

尤其需要关注的是,制造过程中可能存在恶意干预的风险。Lumafield 的研究结果证明了将高级电子组件以难以检测的方式集成到产品中的可行性。如果这项技术被滥用,修改后的电子产品可能会绕过常规的质量检验或安检进入市场,从而造成安全隐患。

最近发生在黎巴嫩的爆炸事件就是一个实例,其中涉及的寻呼机从匈牙利运抵黎巴嫩时被植入了爆炸物。由于物流路径复杂,难以确定篡改发生的确切地点,这表明全球供应链存在脆弱性。

鉴于“O.MG”电缆所展示的技术能力,仅依靠产品的外观或基本功能测试已经不足以确保安全。必须重新审视制造过程中的质量管理和检验制度,确保整个供应链的可追溯性变得尤为重要。

尽管如此,目前的实际威胁程度还需谨慎评估。“O.MG”电缆价格高昂,即便是基础型号也需 119.99 美元,这限制了它在大规模攻击中的应用。对于普通用户而言,选择可信的零售商购买产品以及避免使用公共 USB 充电端口等基本预防措施就足够应对大多数情况。

然而,随着技术进步和生产成本下降,这种情况可能会发生变化。特别是对于国家级别的网络攻击或产业间谍活动来说,针对特定目标的高级攻击已经成为现实威胁。因此,企业或组织应当采取更加全面的安全策略,尤其是在处理关键基础设施或敏感信息时,应从设备选择、供应商评估到产品验收进行全面的安全审查。

转自:https://mp.weixin.qq.com/s/9KONlOqY1YorUJrJraMA4Q