Cavo O.MG: rischio di hardware dannoso e di digitazione errata
Mettete un normale cavo di ricarica USB-C sotto uno scanner TC industriale e potreste scoprire un secondo computer nascosto all'interno del connettore: un chip di silicio aggiuntivo saldato sotto quello principale, una minuscola antenna e dei fili di collegamento più sottili di un capello umano. Non si tratta di un oggetto di scena di un film di spionaggio. È l'O.MG Cable, un vero e proprio strumento in commercio che ha l'aspetto identico al cavo che avete già sulla vostra scrivania.
Questa guida spiega cos'è il cavo O.MG, cosa può effettivamente fare e come difendersi da esso, senza fingere che esista una soluzione miracolosa. La difficoltà non sta nel comprendere la minaccia, ma nell'accettare che la vista non può essere d'aiuto in questo caso e, di conseguenza, nel costruire abitudini che funzionino comunque.
Cos'è il cavo O.MG e perché esiste
Il cavo O.MG non è merce di contrabbando proveniente da un laboratorio. Si tratta di uno strumento legittimamente venduto per attività di red teaming e ricerca sulla sicurezza, e proprio questa duplice natura rappresenta il problema. Lo stesso dispositivo che permette a un professionista della sicurezza di condurre un'esercitazione di sensibilizzazione autorizzata, consente anche a un malintenzionato di trasformare un caricabatterie preso in prestito in un punto d'accesso remoto.
Da una demo al DEF CON a un prodotto pronto per la vendita
Il ricercatore di sicurezza Mike Grover, noto con lo pseudonimo di MG, presentò per la prima volta il cavo alla conferenza di hacking DEF CON nel 2019, realizzando a mano i primi esemplari a circa 200 dollari l'uno. Ciò che lo rese degno di nota non fu la novità, ma l'accessibilità. Le agenzie di intelligence producevano cavi impiantabili da anni; uno strumento della NSA trapelato, chiamato COTTONMOUTH-I, avrebbe avuto un costo di circa 20.000 dollari. Il cavo O.MG offriva una funzionalità paragonabile a un prezzo accessibile a tutti, paragonabile a quello di una cena elegante. Nel 2021, Grover passò dalla saldatura manuale dei cavi alla produzione di massa, come riportato da Vice , momento in cui una demo di nicchia presentata a una conferenza si trasformò in un prodotto ordinabile da chiunque. Oggi è venduto tramite Hak5 in diversi tipi di connettore, tra cui USB-C, USB-A e Lightning, e in diverse versioni, da un modello base a un modello Elite molto più performante.
Uno strumento di sicurezza con un gemello pericoloso
Venduto apertamente, il cavo viene spedito disattivato e richiede un programmatore separato per essere attivato, il che permette al fornitore di rimanere dalla parte giusta della barricata. Ma il punto fondamentale rimane: una capacità che un tempo richiedeva un budget statale è ora disponibile commercialmente. Quando uno strumento potente costa quasi nulla e sembra un accessorio di uso comune, il modello di minaccia per tutti gli altri cambia, che lo vogliano o no.
Come il cavo O.MG si nasconde in bella vista
La maggior parte dei consigli sulla sicurezza presuppone che tu possa ispezionare ciò che colleghi. Il cavo O.MG infrange questo presupposto, e uno smontaggio effettuato nel dicembre 2024 ha mostrato in che modo.
Cosa ha rivelato la TAC
Nel dicembre 2024, la società di ingegneria Lumafield ha eseguito una scansione TC industriale su un cavo USB-C O.MG e l'ha confrontato con uno standard. All'interno del connettore contraffatto hanno trovato un'antenna nascosta e un chip secondario saldato sotto il microcontrollore principale, collegati da fili così sottili che la scansione ha richiesto impostazioni specifiche solo per visualizzarli, secondo quanto riportato da Tom's Hardware . Un normale cavo di ricarica non presenta nulla di tutto ciò. Il cavo contraffatto racchiude un piccolo computer wireless nello stesso spazio.
Perché non puoi individuarlo guardando
Ecco la parte più scomoda. L'impianto è integrato nello stampo del connettore, quindi non c'è nulla di visibile dall'esterno. Un'ispezione visiva non è sufficiente. Persino una radiografia 2D standard può non rilevare il chip nascosto, perché si trova direttamente sotto il chip originale e si mimetizza con esso. Il cavo ha un peso pressoché identico, carica il telefono normalmente e trasferisce dati come qualsiasi altro. A meno di non disporre di una TAC industriale o di uno smontaggio accurato che distrugga il cavo, non è possibile confermare la presenza di un impianto esaminandolo. Questo singolo fatto ridefinisce ogni consiglio che segue.
Vorrei soffermarmi un attimo su quanto sia insolito tutto ciò, perché mi disturba ancora. Per la maggior parte delle minacce alla sicurezza, l'ispezione è fondamentale: si può leggere un URL prima di cliccarci sopra, controllare la firma di un file o verificare l'indirizzo del mittente. Gli impianti hardware eliminano completamente questa possibilità. L'elemento che normalmente si esaminerebbe è proprio quello compromesso, ma è stato progettato appositamente in modo che tale esame non riveli nulla. Questa inversione di prospettiva è il motivo per cui il resto di questa guida si concentra così tanto sul comportamento e sulla provenienza piuttosto che sul rilevamento.
Cosa può fare realmente un cavo O.MG
Immaginate un cavo di ricarica che in realtà è una tastiera. Ecco il trucco. Collegatelo a un computer e si presenterà come un Dispositivo di Interfaccia Umana (HUD), appartenente alla stessa categoria della tastiera che usate per scrivere, e il sistema operativo lo riconoscerà immediatamente. A quel punto, scriverà. Molto più velocemente di qualsiasi essere umano, senza file da scansionare e senza nulla di evidente da segnalare.
Perché il trucco della tastiera funziona così bene? Perché i sistemi operativi sono stati progettati per fidarsi ciecamente dei dispositivi di input. Una tastiera non chiede mai il permesso di digitare e nessun antivirus si attiva quando si inizia a inserire del testo, dato che la digitazione è l'unica funzione per cui è stata progettata. Il cavo sfrutta questa fiducia intrinseca, anziché un bug specifico del software. Ecco perché la sola applicazione di una patch non è sufficiente a risolvere il problema.
Il cavo dispone anche di un proprio punto di accesso Wi-Fi con interfaccia web, consentendo a un operatore di connettersi da remoto e attivare attività senza essere rilevato. I livelli superiori aggiungono funzionalità come il geofencing, una funzione di autodistruzione che rende inutilizzabile l'impianto e un keylogger hardware integrato. Le funzionalità aumentano con il livello di protezione, e la differenza tra i vari livelli è notevole.
| Capacità | Livello base | Livello élite |
|---|---|---|
| Velocità di iniezione della pressione del tasto | ~120 tasti/sec | ~890 tasti/sec |
| Keylogger hardware integrato | NO | ~650.000 battute |
| Slot per lo stoccaggio del carico utile | Meno | 50–300 |
| Punto di accesso Wi-Fi + interfaccia web | SÌ | SÌ |
| Geofencing / autodistruzione | Limitato | SÌ |
I dati relativi all'Elite provengono dal confronto tra i vari livelli effettuato da Hak5. Un logger in grado di memorizzare 650.000 pressioni di tasti direttamente sul cavo è sufficiente per acquisire silenziosamente un gran numero di password prima che qualcuno se ne accorga, e con una velocità di circa 890 pressioni di tasti al secondo, l'Elite può trasmettere un carico utile completo nel tempo necessario a distogliere lo sguardo dallo schermo.
La vera minaccia: scenari di esfiltrazione dei dati
La tecnologia del cavo O.MG è ingegnosa, ma il pericolo è di natura sociale. Nessuno si introduce nelle tue mani con un cavo del genere; te lo consegnano semplicemente o lo lasciano in un posto dove puoi trovarlo. Il cavo è economico, la consegna è umana, ed è proprio questa combinazione che lo rende efficace nel mondo reale.
Alcuni scenari di attacco comuni illustrano lo schema. La tabella seguente illustra le situazioni quotidiane in cui è più probabile che un cavo impiantato vi raggiunga, e la singola abitudine che permette di disinnescare ciascuna di esse.
| Scenario | Dove sei esposto | Prima linea difensiva |
|---|---|---|
| Omaggio promozionale | Un cavo di marca "gratuito" presso uno stand o un evento | Rifiutalo; usa il tuo |
| Il cavo "trovato" | Uno lasciato su una scrivania, in un hotel o in una sala riunioni. | Trattala come una chiavetta USB trovata: non collegarla |
| Tariffa pubblica | Chioschi aeroportuali o bar e cavi condivisi | Porta con te il tuo caricabatterie oppure usa un blocco dati. |
| Sostituzione del cavo | Il cavo è già collegato a un monitor condiviso | Porta e usa il tuo cavo conosciuto |
Poiché il cavo emula una tastiera, funziona su Windows, macOS, Linux e piattaforme mobili, quindi nessun sistema operativo è automaticamente sicuro. La lezione è vecchia, ma applicata al nuovo hardware: un cavo gratuito non è un regalo, è un dispositivo sconosciuto.
Rischio di sovraccarico: una presa a muro può essere d'aiuto?
Questa è una domanda che viene posta spesso. Cosa succede se collego il cavo solo a un caricabatterie da parete e mai a un computer? Sono al sicuro? In linea di massima sì, ma non del tutto. L'iniezione di codice tramite keyframe richiede un host su cui digitare, quindi un cavo collegato a un alimentatore non ha una macchina da attaccare. Questo è un aspetto davvero rassicurante e vale la pena dirlo chiaramente.
Ma l'energia è pur sempre energia. Una presa a muro non disattiva l'impianto. L'elettronica del cavo stesso, incluso il modulo Wi-Fi, può continuare ad assorbire corrente e a funzionare mentre carica il telefono. Quindi la regola è più restrittiva di "usa semplicemente un caricabatterie". È più simile a questa: non collegare un cavo di cui non ti fidi a nulla a cui tieni e non interpretare "solo alimentazione" come "innocuo".
Come identificare e verificare un cavo sospetto
Poiché non è possibile individuare un impianto a occhio nudo, l'obiettivo realistico è ridurre la fiducia cieca piuttosto che ottenere un rilevamento perfetto. Esiste un'opzione specifica: l'O.MG Malicious Cable Detector, venduto a circa 40 dollari, che utilizza l'analisi della potenza a canale laterale, campionando un cavo collegato circa 200.000 volte al secondo per segnalare la firma elettrica di un impianto, secondo le specifiche del prodotto Hak5 .
Può essere utile. Ma leggete onestamente la documentazione: si tratta di uno strumento di screening di primo livello, non di uno strumento forense, e i produttori lo affermano chiaramente. Non rileverà ogni impianto e non potrà mai dimostrare che un cavo sia pulito. Quindi affidatevi alla provenienza. Acquistate i cavi direttamente dal produttore o da un rivenditore autorizzato. Conservate i vostri e etichettateli. E dimenticatevi del peso o della consistenza come indicatori, perché un buon impianto non modifica nessuno di questi aspetti in alcun modo percepibile dalla mano. Per quanto riguarda la minaccia dei cavi O.MG, la verifica significa controllare la provenienza dei cavi, non ispezionare quelli che già possedete.
Come mitigare il rischio dei cavi O.MG
Non esiste un singolo dispositivo di controllo in grado di eliminare completamente questa minaccia. Chiunque ve ne venda uno sta promettendo troppo. La difesa in questo caso è a più livelli, e il livello più economico batte sempre il gadget più costoso: non collegate mai un cavo che non vi appartiene. Tutto il resto non fa altro che rafforzare questa semplice abitudine.
Per gli individui
Portate con voi i vostri cavi e il vostro caricabatterie e usateli. Per la ricarica pubblica, un bloccante dati USB, a volte chiamato "preservativo USB", interrompe fisicamente i pin dati in modo che passi solo l'alimentazione, neutralizzando così i trucchi di trasmissione dati del cavo alla presa. Attivate l'autenticazione a due fattori ovunque, in modo che anche se un keylogger cattura una password, una credenziale rubata da sola non sia sufficiente per accedere. E applicate lo stesso istinto che già usate per le chiavette USB sconosciute anche ai cavi sconosciuti, perché ora rientrano nella stessa categoria di rischio.
Per team e uffici
Le organizzazioni dispongono di strumenti più efficaci. Le policy degli endpoint possono consentire l'utilizzo di dispositivi USB in base al fornitore e all'ID prodotto, in modo che una nuova tastiera inaspettata che compare su un computer venga bloccata o segnalata anziché considerata attendibile. La gestione unificata degli endpoint e i Criteri di gruppo possono limitare le classi di dispositivi consentite e generare avvisi in caso di comparsa di un nuovo dispositivo HID in un ambiente in cui non dovrebbe essercene alcuno. Per gli ambienti a rischio più elevato, il monitoraggio delle radiofrequenze può intercettare le comunicazioni wireless del cavo. Anche la gestione della catena di fornitura è fondamentale: è consigliabile acquistare periferiche da fornitori noti ed essere scettici nei confronti dei cavi ricevuti in regalo o in sostituzione. Nessuna di queste soluzioni è sufficiente da sola, ed è proprio per questo che è importante utilizzarne diverse contemporaneamente. L'obiettivo non è una barriera perfetta, ma una serie di livelli sovrapposti tali da impedire a un singolo cavo installato di agire indisturbato. Un team che combina l'inserimento di dispositivi in liste di autorizzazione, gli avvisi sugli endpoint relativi alle nuove tastiere e una semplice policy "utilizzare solo cavi aziendali" ha chiuso la maggior parte delle vie di fuga realistiche senza dover acquistare strumenti complessi.
Conclusione: cosa fare riguardo alla minaccia del cavo O.MG
Ciò che rende il cavo O.MG così memorabile è che sfida l'istinto a cui ci affidiamo di più: guardare l'oggetto e decidere se è sicuro. In questo caso, l'aspetto non dice nulla. L'impianto è volutamente invisibile. Quindi la difesa che dura davvero è un'abitudine, non un gadget. Trattate i cavi sconosciuti come un amministratore di sistema attento tratta già le chiavette USB sconosciute, e la maggior parte del rischio svanisce. Poi c'è la questione più importante e scomoda. Man mano che sempre più hardware intorno a noi si trasforma in una scatola nera sigillata, quanta fiducia riponiamo in ciò che colleghiamo ogni giorno?
