本文原创于微信公众号：差评 作者：托尼

是这样的，托尼最近在网上冲浪的时候，发现了一个让人脑子嗡嗡的危险玩意：

(资料图片)

O.MG Cable 。

这个看上去只是普通 USB 连接线的家伙，实际上是一台可以带着 200+个恶意软件，还能连接 WiFi 的电脑。

“电脑”在哪儿？就藏在 USB-A 接口的那一圈白色塑料里面。

如果有谁真的把它当成普通的 USB 线，插到手机或电脑上，这根”人畜无害“的连接线立刻就能变身成无所不能的黑客工具。

它的主要破坏手段，是把自己伪装成各种类型的 USB 设备。

我们拿一个最简单的例子，来看看它会有怎样的能力：

O.MG Cable 可以假装自己是一个 USB 键盘，这样，当用户把它插到电脑上时，它除了会透传数据线另一头的手机之外，还会让电脑多识别到一个新的 USB 键盘。

在大多数电脑上，插入新键盘是不会发出新通知的，即使有 USB 设备的提示音，用户也只会以为是电脑识别到了自己手机的提示音。

然后，作为键盘， O.MG Cable 就直接获得了向电脑发送各种指令的能力，例如“搜索硬盘，找到电脑里的所有图片，然后上传到指定的服务器”。

类似的扫盘和上传行为根本不会触发普通的安全软件，因为在正常安全软件看来，这妥妥的是用户在用键盘操作。

到这一步，如果这台电脑有互联网连接，那真没有什么能阻止你硬盘里的所有照片，统统出现在黑客的服务器上了。

不过，即使受害者的电脑没有互联网连接，无法上传也不要紧。

O.MG Cable 里面的这个微型电脑，是自带 WiFi 发射模块的！

它能先将数据从受害者电脑上转移到自己的储存设备上，然后通过 WiFi 传输给攻击者。

你没有网卡没关系， O.MG Cable 给你装了一块。

快说：谢谢 O.MG ！

更致命的是，以上所有听起来复杂的操作，在 O.MG Cable 的“渗透测试”（插件市场）生态下，根本没啥技术含量。

O.MG Cable 背后有一个庞大的社区，其中有大量真正的技术人员，在分享各种“渗透测试”的代码。

Payload这里指“测试”代码

比如说这种在 Windows 上开后门的脚本：

还有这个盗窃 Mac 电脑密码的脚本：

甚至还有针对安卓设备的脚本：

也就是说，攻击者只要会一点皮毛和 Ctrl C/V （复制粘贴），就能用这根线缆完成一次复杂的攻击。

托尼作为一个懂一些代码的硬件编辑，完全有信心花上一周的业余时间，靠着文档和社区帮助，完成刚刚举例的一整套攻击流程。

O.MG Cable 的能力，实在是有些超出想象。

托尼也并不是第一次见到这种公开售卖的伪装黑客工具，但此前的这类工具，要么外观没这么欺骗性，要么功能更简单，或是只能攻击一些安全性严重过时的系统。

比如说之前大名鼎鼎的 USB Killer ，它的功能非常简单：单纯的反向放出高压电，直接通过 USB 口烧毁受害电脑的主板。

它只能算某种毁灭他人财产的恶作剧工具，离有用的黑客工具还差了十万八千里。

而淘宝上就有售的无线“测试”工具， Flipper Zero ，被故意设计成只能攻击无加密或安全性严重落后的无线设备。

它的创造者认为， Flipper Zero 的目的是让大家找出不安全的设备，避免更严重的损失。

但 O.MG Cable 完全突破了这些限制，将公开向大众售卖的“测试”硬件，发展到了一个离谱的高度：

故意设计成人畜无害，不受怀疑的外观；故意设计成技术上难以检测和察觉；庞大可靠的文档和社区支持；全面强大，几乎无所不能的攻击能力；甚至这个工具还能实时联网，具有持续攻击的灵活性。。。

托尼觉得，这完全超出了一个“测试”硬件应该有的特性。

可以说，它把大众的安全放在了火上烤。

目前的设备并没有做好面对类似攻击的准备，几乎所有普通电脑，都不会对伪装成 USB 键盘的恶意设备有所怀疑。

即使是安全性做的比较好的 Mac ，它在插入键盘后会执行的键盘检查，也因为没有随机性，并不能阻止 O.MG Cable 这种设备的攻击。

攻击Mac只需要预设好这个固定按键就行

而与此同时，大多数人也根本不知道，即使是一根 USB 线也可能暗藏玄机。

我们目前能做的，只有提高警惕：

绝对不要使用不明来路的 USB 充电口、连接线或 USB 设备。

对于职务上有保密或安全需求的人来说，这一点尤其重要。

图片、资料来源：

hak5.org，O.MG CABLE

关键词：