邪惡USB又出現了，只要一條USB充電線就能在PC上植入惡意程式

斯圓安全（SYON Security）本周對外展示了一個以USB充電線當作攻擊媒介的USBHarpoon裝置，在連上電腦之後，它能變身為人機介面，可輸入必要的快捷鍵並擊鍵，以在電腦上植入惡意程式。

率先提出類似攻擊的是德國資安業者SRLabs，該公司在2014年就曾說明駭客只要變更可程式化的USB控制晶片，即可將各種USB裝置變成邪惡裝置（BadUSB），例如讓它模擬鍵盤以輸入命令，或是偽裝成網路卡來竄改電腦的DNS設定，以及讓惡意的隨身碟與外接硬碟在開機時就能植入惡意程式。

斯圓安全的作法即是基於SRLabs的研究，把一條充電線變成人機介面（HID），得以模擬鍵盤或滑鼠，還能擊鍵，以便於電腦上植入惡意程式。

斯圓安全創辦人姚旻言（Vincent Yiu）表示，USBHarpoon裝置可以有很多種形式，從充電線、開會用的投影裝置（Dongle）到USB風扇等。

由於USB充電線可說是最普遍的USB裝置，因此，除了斯圓安全之外，還有其他研究人員也在研究將USB充電線變成BadUSB，但姚旻言說，目前只有他們的研究成果能讓USB充電線可同時具備充電與HID的能力，其它的研究在將USB充電線變成BadUSB之後，也會讓它的充電功能失效。

USBHarpoon - BadUSB Masquerading as a Charging Cable