Kode berbahaya yang dapat menginfeksi hampir semua perangkat melalui USB melalui internet.
Peneliti keamanan komputer menulis kode berikut penemuan cacat USB awal tahun ini.
Pasangan ini membuat publik kode dalam upaya untuk memaksa perusahaan elektronik untuk meningkatkan pertahanan terhadap serangan USB.
Salah satu ahli yang menemukan cacat mengatakan pembebasan itu merupakan "peringatan keras" dari keseriusannya.
Attack tools
Rincian cacat BadUSB yang dirilis pada konferensi keamanan komputer Black Hat bulan Agustus oleh Karsten Nohl dan Jakob Lell.
Pekerjaan mereka mengungkapkan bagaimana mengeksploitasi kelemahan dalam software yang membantu perangkat terhubung ke komputer melalui USB. Masalah terbesar mereka menemukan bersembunyi di software terintegrasi, yang dikenal sebagai firmware, ditemukan di perangkat ini.
Antara lain firmware memberitahu komputer apa jenis perangkat yang sedang dipasang ke soket USB tetapi dua peneliti keamanan dunia maya menemukan cara untuk menumbangkan ini dan menginstal kode serangan. Di Black Hat, BBC melihat demonstrasi menggunakan smartphone dan USB stick yang dapat mencuri data jika dihubungkan ke mesin sasaran.
Mr Nohl mengatakan dia dan rekannya tidak merilis kode untuk memberikan perusahaan membuat USB-mengendalikan waktu firmware untuk mengetahui bagaimana untuk memerangi masalah.
Sekarang peneliti Adam Caudill dan Brandon Wilson telah melakukan pekerjaan mereka sendiri pada cacat USB dan diproduksi kode yang dapat digunakan untuk memanfaatkan itu. Pasangan ini meluncurkan karya mereka pada konferensi hacker DerbyCon minggu lalu dan telah membuat perangkat lunak serangan mereka tersedia secara bebas melalui situs code-sharing Github.
"Kami merilis segala sesuatu yang kita lakukan di sini, tidak ada yang sedang diadakan kembali," kata Wilson dalam sebuah presentasi di DerbyCon.
"Kami percaya bahwa informasi ini tidak harus dibatasi untuk beberapa pilih seperti orang lain telah diperlakukan," tambahnya. "Ini harus tersedia untuk umum."
Mr Wilson mengatakan kelompok cybercrime pasti punya sumber daya untuk meniru karya Mr Nohl dan Mr Lell untuk menghasilkan kode serangan mereka sendiri sehingga merilis versi ke komunitas keamanan adalah cara untuk memperbaiki ketidakseimbangan tersebut.
Menanggapi rilis alat serangan Mr Nohl mengatakan kepada BBC bahwa seperti "pengungkapan penuh" dapat memotivasi perusahaan untuk bertindak dan membuat produk yang lebih aman.
"Dalam kasus BadUSB, namun, masalahnya adalah struktural," katanya. "Standar itu sendiri adalah apa yang memungkinkan serangan itu dan tidak ada vendor tunggal berada dalam posisi untuk mengubah itu."
"Tidak jelas siapa yang akan merasa tertekan untuk meningkatkan produk mereka dengan rilis baru-baru ini," tambahnya. "Rilis ini mengingatkan sekali dengan pembela, meskipun, bahwa BadUSB adalah - dan selalu -. Dalam jangkauan penyerang"
"Kami merilis segala sesuatu yang kita lakukan di sini, tidak ada yang sedang diadakan kembali," kata Wilson dalam sebuah presentasi di DerbyCon.
"Kami percaya bahwa informasi ini tidak harus dibatasi untuk beberapa pilih seperti orang lain telah diperlakukan," tambahnya. "Ini harus tersedia untuk umum."
Mr Wilson mengatakan kelompok cybercrime pasti punya sumber daya untuk meniru karya Mr Nohl dan Mr Lell untuk menghasilkan kode serangan mereka sendiri sehingga merilis versi ke komunitas keamanan adalah cara untuk memperbaiki ketidakseimbangan tersebut.
Menanggapi rilis alat serangan Mr Nohl mengatakan kepada BBC bahwa seperti "pengungkapan penuh" dapat memotivasi perusahaan untuk bertindak dan membuat produk yang lebih aman.
"Dalam kasus BadUSB, namun, masalahnya adalah struktural," katanya. "Standar itu sendiri adalah apa yang memungkinkan serangan itu dan tidak ada vendor tunggal berada dalam posisi untuk mengubah itu."
"Tidak jelas siapa yang akan merasa tertekan untuk meningkatkan produk mereka dengan rilis baru-baru ini," tambahnya. "Rilis ini mengingatkan sekali dengan pembela, meskipun, bahwa BadUSB adalah - dan selalu -. Dalam jangkauan penyerang"