В наши дни почти у всего есть процессоры и чипы памяти. Клавиатуры Apple – не
исключение, они имеют 8 Кб flash-памяти и 256 байт RAM. Хотя эти цифры большими
не назовешь, исследователь К.Чен нашел очень легкий способ установки
вредоносного кода
прямо в клавиатуры Apple. Образец разработанного им кода доступен
здесь. Свою работу Чен представил на конференции Black Hat.
Взломать RAM в клавиатурах Apple очень легко из-за наличия утилиты Apple
HIDFirmwareUpdaterTool, позволяющей обновлять прошивки устройств HID, к которым
относятся и клавиатуры. Для того чтобы внедрить кейлоггер, нужно лишь запустить
программу, установить точку остановки и затем просто скопировать новый код в
образ прошивки в памяти, а затем возобновить работу HIDFirmwareUpdaterTool.
Спустя несколько секунд после этого клавиатура будет скомпрометирована.
Обнаружить кейлоггер невозможно, а спастись от него не позволит ни перезагрузка,
ни выемка батарей.
К. Чен продемонстрировал простейший кейлоггер, который способен
воспроизводить пять последних введенных символов. Внутри клавиатуры остается
лишь 1 Кб свободной памяти, поэтому место для хранения введенных символов весьма
ограничено. Кстати сказать, ничто не мешает установить кейлоггер удаленно,
например – с взломанного сайта.
Чен готов написать утилиту для блокировки прошивки, однако он ожидает
официального решения этой проблемы от Apple. Впрочем, эксперт опасается, что
проблема будет решена лишь в текущих и будущих версиях Mac OS X, что оставит
клавиатуры открытыми для атаки из других мест. По его словам, проблема должна
быть устранена на аппаратном уровне и на уровне прошивки.