Question:
Can headphones transmit malware?
tonychow0929
2016-06-15 18:06:54 UTC
view on stackexchange narkive permalink

Les écouteurs peuvent-ils transmettre des logiciels malveillants? Mon ami a emprunté mes écouteurs (une paire d'Apple EarPods) et les a branchés sur son téléphone mobile Android pendant quelques minutes afin d'écouter un message vocal. Serait-il dangereux de le brancher sur mon téléphone par la suite (puisque je me demande si le casque peut stocker des logiciels malveillants qui finiraient par entrer dans mon téléphone)? Serait-il possible de «réinitialiser» mon casque (comme sur iOS)?

Je m'inquiéterais plus du port USB que du Bluetooth.De nombreux périphériques USB utilisent des contrôleurs généralisés qui peuvent être reprogrammés pour faire plus que ce qui était initialement prévu.Cela entre généralement en jeu lorsque quelqu'un décide de faire quelque chose comme [charger sa cigarette électronique avec son ordinateur] (https://www.theguardian.com/technology/2014/nov/21/e-cigarettes-malware-computers) ouà partir de lecteurs flash modifiés avec [BadUSB] (http://gizmodo.com/now-anyone-can-get-the-malware-that-exploits-usbs-funda-1641821985).
Vous voudrez peut-être essuyer les écouteurs avec de l'alcool à friction - c'est la seule façon possible de contracter une infection!
Qu'en est-il des futurs écouteurs compatibles iPhone avec DAC intégré?Ou est-il trop tôt pour dire quoi que ce soit à leur sujet?
Oh oui.Les vers d'oreille peuvent être assez désagréables.
Parfois, je pense que cette SE rend quelques personnes paranoïaques.=)
Oui, mais c'est fini avec les écouteurs.Sérieusement.Au début des années 2000, l'industrie du disque et le gouvernement avaient l'habitude de mettre des bruits aigus et horribles dans les mp3 pour donner des maux de tête et des dommages psychologiques / neurologiques aux étudiants qui tentaient d'écouter de la musique téléchargée sans payer de redevances.
@Hack-R dites-vous qu'ils ont essayé de rendre * tous * les mp3 dangereux à entendre?
@TheGreatDuck Pas TOUS les mp3.Mais ils ont planté des mp3 qui ressemblaient aux chansons que vous vouliez télécharger sur des réseaux comme Napster (ou quoi que ce soit, c'était peut-être après Napster) et cela commencerait par la chanson, puis de nulle part, il y avait un horrible bruit aigu 100x pire queclous grattant un tableau.Il était censé provoquer un renforcement négatif de ne pas télécharger de musique.J'ai entendu une chanson avec ça une fois et ça m'a fait mal au cerveau pendant des jours.Apparemment, certains étaient pires que d'autres.Personnellement, je pense que c'était un mal bien plus grand que le téléchargement de musique p2p qu'il était censé empêcher.
Peut-être stocker toute la musique que vous écoutez?
Je classerais une grande partie de la musique que mes enfants écoutent comme "malware".Alors oui, les écouteurs * peuvent * transmettre des logiciels malveillants.:-)
C'est incroyable de voir tout le lavage de cerveau qu'Apple a fait, avec tous ces "OMG est-ce qu'Android va donner un virus à mon Apple? Les téléphones Android sont si sales!"
@pipe J'espère que la question ne dépend pas du fait que les écouteurs ont été branchés sur un téléphone Android.
@A.Darwin Je vous parie 5 devises internet que l'utilisateur n'avait jamais pensé à cette question s'il avait utilisé le casque dans un autre iPhone.
@pipe Pour clarifier: les systèmes d'exploitation ne sont pas vraiment importants.Les systèmes d'exploitation créés par l'homme sont sujets à des problèmes de sécurité.Ce qui m'intéresse, c'est de savoir si les écouteurs sont capables de transporter des logiciels malveillants.Si ce n'est pas le cas, je n'ai pas à craindre que les logiciels malveillants puissent exploiter certaines vulnérabilités iOS et éventuellement endommager mon téléphone.
Étant donné que les écouteurs sont capables de transmettre des chansons de Justin Bieber et Taylor Swift, la réponse est un OUI définitif.
Google Tone pourrait être utilisé pour envoyer un lien vers une page Web malveillante, la page utilisant d'autres exploits pour infecter.Les sons pourraient facilement être joués avec des écouteurs.Cependant, ce serait une attaque très limitée.Mais la réponse est oui.
Les EarPods contiennent une puce d'authentification, donc tous les commentaires «Les écouteurs ne contiennent pas de stockage» sont sans objet.Il n'est presque certainement pas capable d'être utilisé à des fins néfastes, mais c'est * possible *.
Onze réponses:
Stephen Spencer
2016-06-15 18:16:02 UTC
view on stackexchange narkive permalink

Je doute qu'il y ait un moyen de stocker des informations (donc de transférer des informations) sur des écouteurs ordinaires. Certains modèles plus avancés (comme la suppression du bruit) ont une capacité de traitement et un micrologiciel, mais je ne le vois pas comme un vecteur d'attaque viable.

Je parie que ces "doivent être connectés à Internet pour utiliser" les casques de jeu Razer seraient une excellente cible pour quelque chose comme ça. De plus, je pensais que les écouteurs antibruit utilisaient des matériaux pour empêcher tout autre son, pas un logiciel / firmware?
L'annulation active du bruit utilise en fait un micro pour écouter le bruit ambiant, puis joue l'onde sonore inverse dans le casque, «annulant» le bruit ambiant.
@StephenSpencer C'est magique.
Notez que certains écouteurs utilisent USB pour se connecter à un ordinateur.
Qu'en est-il des écouteurs Bluetooth?Le bluetooth implique-t-il une puissance de traitement suffisante pour éventuellement avoir un vecteur d'attaque?(Cela devrait-il être sa propre question?)
@durron597: Une attaque * BadBluetooth * semble faisable.Un casque faisant semblant d'être un clavier.
@Bergi, mais alors vous verriez un clavier lors de l'appairage de vos écouteurs, non?
-1
@SuiciDoga Aucune raison pour laquelle ils ne pouvaient pas faire de "tueurs de casque".
@AmazingDreams - [Et Intel semble penser que c'est une idée intelligente pour les téléphones en général] (http://www.anandtech.com/show/10273/intel-proposes-to-use-usb-typec-cables-to-connecter des casques aux appareils mobiles).
@WorseDoughnut ayant essayé l'un d'entre eux, je peux confirmer.Ils sont magiques.
@Compro01 ah, donc mon commentaire était plus pertinent que je ne le pensais au départ.
CristianTM
2016-06-15 18:15:33 UTC
view on stackexchange narkive permalink

Bien que je ne dise pas «impossible», je peux dire que vous n'avez pas à vous inquiéter.

Les écouteurs ne disposent d'aucun stockage permettant de stocker des logiciels malveillants. En outre, ils n'envoient généralement pas beaucoup de données au téléphone auquel ils sont branchés et qui pourraient être utilisés. Par exemple, n'envoyez des données sonores que s'il y a un micro, et peut-être quelques signaux simples de lecture / arrêt / saut / volume up / down. Cependant, ils n'envoient pas de commandes complexes comme "installer un pilote" ou d'autres commandes plus compliquées qui pourraient avoir un bogue qui pourrait être exploité.

On pourrait peut-être créer un faux casque qui exploite un bogue qui pourrait d'une manière ou d'une autre exécuter quelque chose sur l'appareil. Cependant, cela ne se produira pas avec les écouteurs courants que vous ou votre ami avez, bien sûr. Cela pourrait être possible en particulier lorsque vous parlez d'écouteurs USB ou Bluetooth, car ils utilisent un canal de communication plus flexible, et c'est plus difficile, mais pas impossible, dans les casques à prise commune - par exemple. jetez un oeil dans ces lecteurs de cartes - notez que pour cela vous auriez besoin d'un logiciel bogué qui attend d'autres données dans la prise audio, comme un logiciel de lecteur de carte, pré-installé pour être exploité).

Comme mentionné dans un commentaire à votre question, la chose la plus importante à faire lors de l'emprunt d'un casque peut être "essuyez les écouteurs avec de l'alcool à friction". A part ça, ne vous inquiétez pas!

Je pense que c'est la bonne réponse.Ses écouteurs Apple n'ont presque sûrement pas la capacité de stocker des données, ce scénario spécifique n'est donc pas préoccupant.C'est différent de dire qu'aucun malware ne peut être transmis via la prise casque.Il est certainement possible de transmettre des données à au moins certains appareils via la prise casque.Quelqu'un pourrait fabriquer des écouteurs contenant des logiciels malveillants et les proposer à une cible d'essayer.
Certains casques * stockent * des données, comme les casques de jeu qui enregistrent différents profils pour différents jeux.* Ses * écouteurs particuliers ne le font probablement pas
Stephen, êtes-vous sûr que le profil est stocké sur le casque, pas sur l'ordinateur?Intéressant à savoir, si on pointe un exemple, je mentionnerais une telle exception sur la réponse.
Je sais que le Logitech g930 peut enregistrer les paramètres d'éclairage sur l'appareil lui-même, mais je ne connais pas les autres modèles.
Pour clarifier, le g930 enregistre ses profils par jeu dans l'ordinateur, seul le profil d'éclairage peut être enregistré sur l'appareil.
Impossible de trouver des informations sur cette fonctionnalité ... Mais à partir des paramètres «light», j'imagine seulement quelques interrupteurs marche / arrêt, pas vraiment des configurations qui nécessitent un espace de stockage.Plus d'infos?
@TessellatingHeckler très bon point.Pourtant, des contrôles très spécifiques et non paramétrés, qui pourraient être un vecteur d'attaque.Je les appellerais plus comme des signaux que comme des commandes ou des données.Mais je vais considérer cela sur la réponse.
Pour qu'un malware sur un casque intelligent hypothétique attaque via la prise casque, l'autre appareil devrait déjà héberger une application pour recevoir les données.
Je n'avais pas considéré que les logiciels côté téléphone étaient attaquables avant de lire cette réponse.Je suppose qu'il serait théoriquement possible d'exploiter un bogue dans une application (comme un lecteur de carte) qui analyse les données audio.
Certains téléphones Android peuvent utiliser le câble du casque comme port série (UART), ce qui permet de lire les messages du port série
"Cependant, ils n'envoient pas de commandes complexes comme" installer un pilote "" ... désolé, mais ils le font vraiment (ou peuvent le faire).Mon casque USB sans fil déclenchera visiblement une installation de pilote lorsque le dongle sans fil est branché. Bien sûr, à ce stade, vous branchez fondamentalement "une chose USB" qui a l'une des vulnérabilités USB possibles.
@CristianTM les écouteurs sont en fait g933;De plus, en ce qui concerne les profils, j'ai mélangé des écouteurs avec des souris, désolé.Je ne peux pointer aucun casque qui stocke des profils.J'ai trouvé des écouteurs avec stockage intégré pour les mp3 sur Google, mais ceux-ci n'entrent pas dans le cadre de cette question.
Jens Erat
2016-06-16 15:29:09 UTC
view on stackexchange narkive permalink

Potentiellement, oui - mais cela dépend! Un certain nombre d'appareils Android (et potentiellement beaucoup d'autres) permettent d'accéder à une console UART série sur la prise casque pendant le démarrage (une belle conclusion existe également sur pentestpartners.com). Vous n'avez pas besoin de beaucoup d'électronique (et d'espace) pour construire un casque qui peut (ab) utiliser l'accès UART pour faire quelque chose de mal, de la lecture d'informations au changement de logiciel.

Si vous vous connectez casque via USB (ce qui se produira probablement beaucoup plus souvent avec l'USB-C) ou le connecteur Lightning d'Apple, généralement les mêmes problèmes qu'avec les autres périphériques USB s'appliquent - en particulier si le périphérique prend en charge le mode hôte USB.

Cela ne correspond pas à votre scénario très spécial où vous empruntez vos propres écouteurs. Quelqu'un devrait modifier les écouteurs et ajouter de l'électronique malveillante, et il ne semble pas que vous vous méfiez de votre ami pour avoir appliqué quelque chose comme ça. Mais généralement, les écouteurs sont un vecteur d'attaque potentiel.

* "modifier les écouteurs * - ou, remplacer un ensemble avec les modifications déjà apportées. Ne laissez pas vos appareils hors de votre vue! Mais, comme vous le dites, l'ami ici est digne de confiance (mais pas l'appareil de l'ami).
S.L. Barth - Reinstate Monica
2016-06-15 18:15:43 UTC
view on stackexchange narkive permalink

Pour autant que je sache, ces écouteurs n'ont pas de mémoire, ils ne pourraient donc pas stocker de logiciels malveillants.

De plus, le flux de données ne doit provenir que de l'ordinateur ou du mobile vers les écouteurs. Même si un attaquant réussissait à mettre un logiciel malveillant sur le casque, il serait difficile d'envoyer le logiciel malveillant vers un autre ordinateur ou mobile.
S'il s'agissait d'un casque (c'est-à-dire avec un microphone), il y aurait être un flux de données vers l'appareil. Mais tant que l'appareil n'a pas de mémoire, il ne devrait pas y avoir de problème.

Certains casques / écouteurs sont Bluetooth, donc c'est certainement possible mais plutôt improbable.
@cybermonkey Bon point (+1).Cela va cependant au-delà de la question, car la question concerne l'utilisation filaire des écouteurs ("les a branchés sur son téléphone mobile Android").
Ross Presser
2016-06-15 22:07:53 UTC
view on stackexchange narkive permalink

Quelque chose qui ressemble à un casque et se branche dans la prise casque pourrait être mauvais - il pourrait faire frire votre puce audio en poussant le courant électrique au-delà des limites normales. Mais sans logiciel supplémentaire déjà sur l'appareil, il ne peut pas enregistrer les données sur le disque dur de l'appareil.

Marc Ruef
2016-06-15 19:03:27 UTC
view on stackexchange narkive permalink

Non , ce n'est pas possible car un casque avec câble jack commun manque de 3 éléments nécessaires à une infection par un logiciel malveillant:

  1. Stockage des données
  2. Code d'exécution
  3. Transfert de données

C'est quelque chose que nous pourrions voir arriver sur les écouteurs à l'avenir. Par exemple, les écouteurs USB pourraient être dotés de telles fonctionnalités qui rendraient possible une infection et une propagation de malware.

La prise peut absolument être utilisée pour transférer des données - pas seulement de l'audio.Cela dépend simplement de l'application que vous utilisez.http://stackoverflow.com/questions/10248649/sending-data-through-headphone-jack-in-android-phones
+1 @dodgy_coder Je me souviens qu'Apple avait un iPod shuffle qui effectuait tous ses transferts de données via la prise casque.J'ai toujours le câble USB vers casque.Square a / avait un lecteur de carte qui utilisait également la prise audio pour les données
Les lecteurs de cartes Square fonctionnent via la prise casque: https://d1qkpgyjx3go7e.cloudfront.net/shop/assets/products/reader-contactless-chip/gallery-07-2e799cb9660f6012b3cabb3295d138c1.jpg donc je ne pense pas que cela puisse être ignoré comme unvecteur d'attaque.
AFAIK, la façon dont le port de données sur casque fonctionne est d'encoder les données en tant que signal audio, puis de demander au logiciel de l'autre côté de les interpréter comme autre chose.Cela rendrait possible une attaque contre Square / etc si vous aviez installé l'application et qu'elle écoutait des données;mais ne permettrait pas une attaque directe contre le système d'exploitation général.
@DanNeely une attaque contre n'importe quel logiciel a le potentiel d'être élevée pour attaquer un système dans son ensemble.
@RobertMennell: même si le système utilise chroot pour isoler les applications les unes des autres?
Peu importe si l'exploit a un accès root ou administrateur.Le problème était qu'il attendait un signal et que ce signal transportait quelque chose qui pouvait être exploité.
@DanNeely il n'encode pas les données comme un signal audio, juste un signal analogique;pas différent de la couche phy dans Ethernet ou USB.
Nzall
2016-06-15 20:38:11 UTC
view on stackexchange narkive permalink

Les haut-parleurs et les microphones sont essentiellement la même chose: un élément vibrant contrôlé par un signal électronique. Pour cette raison, vous pouvez transformer un haut-parleur en microphone assez facilement en jouant avec les câbles.

En théorie, un casque modifié équipé de Bluetooth ou d'un câble de données (comme les prochains écouteurs connectés à Lightning pourrait être ) pourrait usurper un clavier ou une autre connexion et écouter des signaux audio spécialement conçus et transmettre des données directement dans votre téléphone. Cependant, ce serait une tâche assez difficile et je ne suis pas au courant d'attaques réelles utilisant cette méthode.

Cependant, un casque standard ou une marque d'écouteurs produite en série ne devrait pas être en mesure d'envoyer des données sur votre téléphone.

JRCharney
2016-06-15 21:47:08 UTC
view on stackexchange narkive permalink

Non, vous ne pouvez pas donner de logiciels malveillants à votre téléphone Android en utilisant des écouteurs Apple.

En gros, les écouteurs, comme n'importe quel casque, ne sont que deux petits haut-parleurs soudés chacun à deux fils qui complètent le circuit entre l'écouteur et la prise casque.

Certains écouteurs ont un commutateur de volume, un petit microphone, un contrôle de lecture (pause / lecture, arrêt, retour arrière, avance rapide, etc.) ou une combinaison de ceux-ci. Il ne piraterait toujours pas votre téléphone à moins que les schémas ne montrent autre chose que ce qui était nécessaire pour ce type de fonctionnalité.

Mais pour vos simples écouteurs Apple, non, cela ne nuirait pas et ne devrait certainement pas endommager votre téléphone .

Fils
2016-06-16 12:09:50 UTC
view on stackexchange narkive permalink

D'après moi, vous me demandez si un téléphone Android infecté par un logiciel malveillant Android pourrait

  1. stocker des données sur votre casque

  2. infecter votre appareil iOS

La première question a déjà reçu une réponse assez claire.

La seconde, cependant, n'a pas reçu de réponse. Si le code Android pouvait éventuellement fonctionner sur iOS, de nombreux programmeurs seraient tellement satisfaits. On pourrait soutenir que le malware est capable d'infecter le casque avec les deux logiciels malveillants compatibles, mais nous savons que c'est peu probable.

Les logiciels malveillants multiplateformes sont tout à fait possibles et existent empiriquement.Il n'est pas nécessaire que le même code s'exécute sur les deux plates-formes, seulement qu'il porte des attaques contre les deux plates-formes.
L'appareil infecté n'a pas besoin d'exécuter le code destiné à l'appareil victime.
Micheal Johnson
2016-06-18 22:04:04 UTC
view on stackexchange narkive permalink

S'il s'agit d'écouteurs standard avec un câble audio analogique, ils ne peuvent pas transmettre de logiciels malveillants. S'ils disposent d'une connexion numérique telle que HDMI, ils peuvent théoriquement transmettre des logiciels malveillants, mais une vulnérabilité dans les écouteurs devrait être exploitée par l'appareil transférant le malware vers les écouteurs, et le malware sur les écouteurs devrait alors exploiter un vulnérabilité des appareils connectés ultérieurement afin de les infecter. S'il s'agit d'écouteurs USB, ils pourraient être reprogrammés pour se comporter comme une clé USB si une vulnérabilité en eux était exploitée, et les clés USB peuvent être utilisées comme vecteur pour toutes sortes de logiciels malveillants. S'ils disposent d'un connecteur propriétaire, vous ne pourrez peut-être pas savoir quel type de bus de données ce connecteur fournit et il est possible que cela soit exploité.

jmcph4
2017-05-19 01:33:34 UTC
view on stackexchange narkive permalink

En théorie

Les données peuvent être transmises dans le casque via la prise audio ou tout autre connecteur utilisé. Les données peuvent être transmises hors du casque via le même itinéraire. Si vous vouliez être pédant, les données peuvent également être transmises depuis ces derniers via les haut-parleurs eux-mêmes.

S'ils utilisent un connecteur USB ou un autre connecteur, ce n'est pas seulement l'audio standard de 3,5 mm jack, alors il y a certainement des vecteurs d'attaque possibles, comme l'exécution de code non approuvé via le contrôleur USB intégré, par exemple. L'utilité de cette méthode pour infecter votre appareil iOS est cependant sujette à débat.

En pratique

Il est hautement improbable que votre ami ait effectivement déployé des logiciels malveillants de quelque nature que ce soit sur vos écouteurs, car le les techniques décrites ci-dessus sont extrêmement difficiles à réaliser.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...