O.MG 数据线:恶意硬件和按键风险
把一根看起来普通的 USB-C 充电线放在工业 CT 扫描仪下面,你可能会发现连接器里藏着第二台电脑:主芯片下方粘合着一块额外的硅芯片、一根微型天线,以及比头发丝还细的连接线。这不是间谍电影里的道具,而是 O.MG Cable,一款真实存在的市售产品,它的外观和你桌上的普通充电线一模一样。
本指南解释了什么是 O.MG 线缆,它究竟会造成什么影响,以及如何防御它,但并不指望有什么万全之策。难点不在于理解威胁,而在于接受你的眼睛无法帮你识别它,然后养成有效的防御习惯。
O.MG 线缆是什么?它存在的意义是什么?
O.MG Cable并非从实验室走私出来的违禁品。它是一款合法销售的红队演练和安全研究工具,而这种双重用途正是问题所在。这款设备既能让安全专家开展授权的安全意识演练,也能让恶意攻击者利用借来的充电器建立远程攻击入口。
从 DEF CON 演示到现成产品
安全研究员迈克·格罗弗(Mike Grover,网名MG)于2019年在DEF CON黑客大会上首次展示了这款数据线,早期产品均为手工制作,每条售价约200美元。这款数据线引人注目之处并非在于其新颖性,而在于其易用性。情报机构多年来一直在研发植入式数据线;据报道,泄露的美国国家安全局(NSA)工具COTTONMOUTH-I的造价高达2万美元。而O.MG数据线则以一顿丰盛晚餐的价格,将类似的功能摆上了普通消费者的货架。 据Vice报道,到2021年,格罗弗已从手工焊接转向批量生产,这标志着原本小众的会议演示产品变成了人人都能订购的商品。如今,这款数据线通过Hak5销售,提供多种接口选择,包括USB-C、USB-A和Lightning,并有从基础款到功能更强大的Elite款等不同配置级别。
一种安全工具,却有着危险的孪生兄弟。
这条电缆公开出售,出厂时处于未激活状态,需要单独的编程器才能启用,这使得供应商无需承担法律责任。但其根本意义在于:过去需要国家预算才能实现的功能,如今已可以商业化获得。当一种强大的工具几乎免费且看起来像普通的配件时,无论其他人是否愿意,他们面临的威胁模式都会发生改变。
O.MG 电缆是如何隐藏在众目睽睽之下的呢?
大多数安全建议都假设你可以检查你插入的设备。O.MG Cable 打破了这一假设,2024 年 12 月的一次拆解分析就充分展示了它的内部构造有多么彻底。
CT扫描结果显示
2024年12月,工程公司Lumafield对一根O.MG USB-C数据线进行了工业CT扫描,并将其与标准数据线进行了对比。 据Tom's Hardware报道,他们在恶意连接器内部发现了一个隐藏的天线和一个位于主微控制器下方的辅助芯片,两者之间通过极其纤细的导线连接,以至于需要调整扫描设置才能将其显示出来。普通的充电线则完全没有这些。而恶意数据线却在相同的空间内塞入了一台小型无线计算机。
为什么你光看是发现不了它的
令人不安的是,植入物被集成在连接器模具中,因此从外部根本无法看到。目视检查也无济于事。即使是标准的二维X光检查也可能漏掉这个隐藏的芯片,因为它位于正常芯片的正下方,并与之融为一体。数据线重量与普通数据线相差无几,可以正常给手机充电,数据传输也与其他数据线无异。除非使用工业级CT扫描仪或进行彻底拆解(即使会破坏数据线),否则你无法通过检查来确认其中是否植入了芯片。这一事实彻底改变了接下来所有建议的适用性。
我想花点时间仔细想想这件事有多么不寻常,因为它仍然让我感到不安。对于大多数安全威胁来说,检查是关键:你可以在点击链接前阅读URL,检查文件的签名,或者查看发件人的地址。但硬件植入完全剥夺了这些选择。你通常会检查的东西恰恰是已被入侵的,而且它经过专门设计,使得检查根本无法提供任何信息。正是这种颠倒的逻辑,使得本指南的其余部分如此侧重于行为和来源分析,而不是检测。
O.MG 线缆究竟能做什么
想象一下,一根充电线其实隐藏着一个键盘。这就是它的奥妙所在。把它插到电脑上,它就能把自己识别为“人机接口设备”,和你的键盘属于同一类别,操作系统会立即信任它。然后它就开始打字。速度远超人类,无需扫描任何文件,也没有任何明显的异常之处会被标记出来。
为什么键盘伪装如此有效?因为操作系统被设计成无条件信任输入设备。键盘无需请求输入许可,也不会在输入文本时弹出杀毒软件,因为输入正是键盘的职责所在。这种线缆利用了操作系统内置的信任机制,而非任何特定的软件漏洞。这也是为什么仅仅打补丁无法解决问题的原因。
该电缆还自带Wi-Fi接入点和网页界面,因此操作员可以远程连接并秘密触发操作。更高级别的版本还增加了地理围栏功能、可使植入物失效的自毁功能以及板载硬件键盘记录器。功能随级别提升而增强,且级别之间的差距很大。
| 能力 | 基础层 | 精英级 |
|---|---|---|
| 按键注入速度 | 约 120 个按键/秒 | 约 890 个密钥/秒 |
| 板载硬件键盘记录器 | 不 | 约65万次击键 |
| 有效载荷存储槽 | 较少 | 50–300 |
| Wi-Fi接入点 + Web用户界面 | 是的 | 是的 |
| 地理围栏/自毁 | 有限的 | 是的 |
Elite 的数据来自 Hak5 自己的产品分级对比。这款记录器仅需将 65 万次击键记录存储在数据线上,就足以在无人察觉的情况下悄无声息地捕获大量密码。Elite 的击键速度约为每秒 890 次,在你离开屏幕的瞬间就能完成一次完整的密码捕获。
真正的威胁:数据泄露场景
O.MG 数据线的技术很巧妙,但危险在于人为因素。没人会用这种数据线入侵你的设备;他们只会把它交给你,或者放在你会拿到的地方。数据线价格低廉,递送方式是人为的,正是这种组合使其在现实世界中得以应用。
一些常见的攻击场景揭示了这种模式。下表列出了植入式电缆最有可能接触到你的日常生活场景,以及解除每种场景的关键习惯。
| 设想 | 你所处的环境 | 第一道防线 |
|---|---|---|
| 促销赠品 | 在展位或活动现场获得的“免费”品牌线缆 | 拒绝它;使用你自己的 |
| “找到的”电缆 | 一张遗落在办公桌上、酒店房间里或会议室里 | 请像对待捡到的U盘一样对待它:不要插入电脑。 |
| 公共收费 | 机场或咖啡馆的售货亭和共用电缆 | 随身携带充电器,或者使用数据屏蔽器。 |
| 电缆更换 | 已连接到共享显示器的线缆 | 请自带并使用您熟悉的电缆 |
由于该线缆模拟键盘,因此可在 Windows、macOS、Linux 和移动平台上使用,所以没有任何操作系统是绝对安全的。这个道理虽然由来已久,但如今也适用于新的硬件:免费线缆并非礼物,而是一个来路不明的设备。
充电风险:使用墙壁插座有帮助吗?
很多人都问过这个问题:如果我只把数据线插到墙上的充电器上,从来不插到电脑上呢?这样安全吗?基本安全,但也不完全安全。键盘注入攻击需要主机才能输入数据,所以一根挂在电源适配器上的数据线没有可供攻击的机器。这一点确实让人安心,值得明确说明。
但电源就是电源。墙上的插座并不会关闭植入式设备。线缆自身的电子元件,包括Wi-Fi模块,会在给手机充电的同时持续耗电运行。所以,这条规则比“只用充电器”要严格得多。更接近于:不要把不信任的线缆连接到任何你珍视的东西上,也不要把“仅供电”理解为“无害”。
如何识别和验证可疑电缆
由于无法用肉眼直接检测植入物,因此现实的目标是降低盲目信任,而非实现完美检测。目前有一种专门的解决方案:O.MG恶意电缆检测器,售价约40美元,采用侧信道功率分析技术, 根据Hak5的产品规格,它每秒对连接的电缆进行约20万次采样,以标记植入物的电信号。
它确实有帮助。但请认真阅读其文档:这只是一个初步筛查工具,而非法医鉴定仪器,制造商也明确指出了这一点。它无法检测出所有植入物,也无法证明线缆是否干净。因此,请依靠线缆的来源。直接从制造商或授权经销商处购买线缆。保留自己的线缆并做好标记。不要以重量或手感作为判断依据,因为优质的植入物不会以任何你能感觉到的方式改变重量或手感。对于“O.MG 线缆”的威胁,验证的真正含义是控制线缆的来源,而不是检查你已经拥有的线缆。
如何降低 O.MG 电缆风险
没有哪一种单一的控制措施能够彻底消除这种威胁。任何向你推销这种措施的人都是夸大其词。防御措施是多层次的,而最便宜的措施总是胜过最昂贵的设备:永远不要插入你不拥有的线缆。其他一切都只是强化这一习惯而已。
对于个人
随身携带自己的数据线和充电器,并使用它们。在公共充电时,可以使用USB数据阻断器(有时也称为USB安全套),它可以物理切断数据引脚,只允许电流通过,从而防止数据线在插座处窃取数据。在所有设备上启用双因素身份验证,这样即使键盘记录器捕获了密码,仅凭被盗的凭证也无法登录。对来路不明的U盘保持警惕,同样对待来路不明的数据线,因为它们现在都属于同一风险类别。
适用于团队和办公室
企业拥有更强大的控制手段。端点策略可以根据供应商和产品 ID 将 USB 设备列入允许列表,这样,当一台机器上出现一个意料之外的新键盘时,系统会阻止或标记它,而不是将其视为可信设备。统一端点管理和组策略可以限制允许使用的设备类别,并在出现不应出现新 HID 设备的地方发出警报。对于高风险环境,射频监控可以捕获线缆的无线通信。供应链管理也至关重要:从知名供应商采购外围设备,并对作为意外礼物或替换品送来的线缆保持警惕。这些措施单独使用都不够全面,因此需要同时运行多个措施。目标并非构建一道完美的屏障,而是构建足够多的重叠层,使单个植入的线缆无法悄无声息地发挥作用。一个团队如果将设备列入允许列表、新键盘的端点警报以及简单的“仅使用公司提供的线缆”策略结合起来,无需购买任何特殊工具,就能堵住大多数可能的漏洞。
结论:如何应对 O.MG 电缆威胁
O.MG 数据线之所以令人印象深刻,是因为它颠覆了我们最常依赖的本能:观察设备,判断其安全性。而在这里,观察并不能告诉你任何信息。植入物刻意做到了隐形。因此,真正有效的防御措施是一种习惯,而非某种设备。像谨慎的管理员对待陌生的U盘那样对待陌生的数据线,大部分风险自然就会消除。接下来,还有一个更大、更令人不安的问题:随着我们周围越来越多的硬件设备变成密封的黑盒子,我们每天插入的设备中,究竟有多少是出于纯粹的信任?
