吸烟不仅伤身,还伤电脑:攻击者利用电子香烟传播恶意软件

吸烟不仅伤身,还伤电脑……近日,一款中国制造的电子香烟被曝出其通过USB充电时,会自动在用户计算机上安装恶意软件。

公司高管计算机被黑

最近一名网友在Reddit社会新闻网站上发布了帖子,详细介绍了某大型公司高管的计算机是如何感染不明来源的恶意软件(恶意软件一般包括木马、病毒等)。而通过进一步的调查发现:恶意软件的来源居然是他在网上花了5美元买来的电子香烟!

值得一提的是,这位高管的电脑并不是“裸奔”:系统不仅已经安装了补丁更新,而且还安装了杀毒软件和反恶意程序软件。最初IT技术人员用尽了各种传统方法都没有找出感染恶意软件的源头,于是IT技术人员开始尝试从其他的方面进行调查:

凶手就是电子香烟

经调查发现,恶意软件代码被写入了电子香烟的充电器里。当把电子烟插入电脑USB接口充电时,恶意软件会通过网络自动与指令与控制服务器(C&C)通讯,然后感染用户计算机。

ID管理公司Bit4Id的信息安全主管Pierluigi Paganini说,电子烟是传播恶意软件的最新载体。

猥琐又奇葩的攻击方式

攻击者可以利用任何可以利用的设备感染处于低防护的网络。尽管这种攻击看起来猥琐又奇葩,但不可否认的是,确实有很多的电子香烟都是通过USB进行充电的(有的使用特殊的连接线,有的直接插入USB接口),这给了攻击者可乘之机。

虽然我们现在没有足够的证据来证明这一消息的可信度,但是我们认为这种攻击还是有可能的。类似用USB设备传播恶意软件的例子在过去就发生过,比如有的攻击者会用电池充电器感染笔记本电脑和移动设备,还有刚刚发生不久的BadUSB事件

据英国卫报建议:要想规避这种风险,最好买可信赖厂商的USB充电设备,如Aspire,KangerTech和Innokin,不要购买中国的电子设备(又黑我大天朝!)