Quem um dia iria imaginar que até mesmo carregadores de smartphones e tablets (aquele mesmo que deve estar conectado na tomada de sua parede ou no filtro de linha próximo ao seu computador) poderiam ser utilizados para hackear senhas? O KeySweeper, produto desenvolvido por Samy Kamkar, utiliza esses pequenos dispositivos para roubar códigos de acesso, usuários e muitos outros dados a partir de teclados sem fio da Microsoft.
O segredo por trás desse carregador, explicado no video acima, é um módulo Arduino escondido dentro da carcaça do dispositivo. Ele é capaz de monitorar e registrar tudo o que é digitado, salvando essas informações localmente (em sua memória interna) ou enviado para a nuvem. Uma interface web fornece a interação necessária para acompanhar tudo que é capturado pelo KeySweeper.
Interface web para interagir com o que foi capturado pelo KeySweeper.
Quase um brinquedo
Kambar conta que levou apenas “alguns dias” para desenvolver esse dispositivo “espião”. O objetivo do projeto é mostrar o quão frágil é a comunicação do periférico da Microsoft com o computador, conexão que, segundo ele, apresenta uma série de falhas que são exploradas pelo pequeno objeto.
Quem é um pouco entendido do vocabulário da internet, já percebeu que o funcionamento do KeySweeper se assemelha muito ao de um keylogger. Em palavras simples, esse mecanismo é capaz de monitorar todas as entradas feitas pelo teclado e geralmente são acompanhados de programas que registram esses dados e o vasculham em busca de informações como nomes de usuários ou números de contas.
O "brinquedinho" foi construído em apenas alguns dias.
Apenas teclados sem fio da Microsoft
Samy Kamkar, no entanto, afirma que o dispositivo só consegue explorar essa falha de comunicação entre o teclado e o computador a partir de um teclado sem fio da Microsoft. Tomando ciência desse fato, a companhia disse “estar ciente de relatórios que mencionam um ‘KeySweeper’ e está investigando o caso”.
O criador desse pequeno objeto, obviamente, não conseguiu testar o invento em todos os teclados da Microsoft que existem. Porém, uma compra aleatória de um desses periféricos em uma loja qualquer mostrou que a falha, de fato, existe e pode ser explorada pelo KeySweeper.
O KeySweeper funciona apenas com teclados sem fio da Microsoft.
Ficou interessado? É só comprar
Disponibilizado em várias faixas de preço, o KeySweeper pode ser comprado através do site que hospeda a explicação do que é o projeto. Sua documentação também está disponível no GitHub para quem quiser explorar seu código e modificá-lo da forma que desejar.
Além de oferecer um método para hackear as pessoas, KamKar afirma que o KeySweeper possa despertar a atenção da Microsoft para essa falha grave em seu periférico. “Espero que isso crie uma pressão para garantir que tenhamos uma criptografia adequada em novos produtos que fio que forem lançados”, disse ele ao site VentureBeat.
Fontes