Esistono pareri contrastanti sui presunti danni o benefici delle cosiddette e-cig rispetto al fumo tradizionale, ma un nuovo pericolo potrebbe arrivare non dalla formaldeide (contenuta sia nelle sigarette comuni sia in quelle elettroniche) ma dagli attacchi hacker. I dispositivi per il vaping possono essere modificati permettendo a hacker di attaccare i PC quando le e-cig sono collegate alle porte USB per la ricarica. Sfruttando script ad hoc, cybercriminali potrebbero intercettare il traffico di rete o simulare la presenza di una tastiera che digita comandi.
La dimostrazione è stata fatta da Ross Bevington, un ricercatore esperto in sicurezza informatica specializzato nella scrittura di software C++ di basso livello. Alcune sigarette elettroniche possono essere trasformate da semplici prodotti per lo “svapo” a piattaforme di exploit. Ovviamente la “vittima” deve mettere a disposizione dell’attacker il computer affinché l’attacco possa avvenire.
Una simile dimostrazione è stata fatta da ‘FourOctets’, un diverso ricercatore che ha pubblicato un video su Twitter per evidenziare la semplicità del procedimento. È bastato collegare una prolunga USB al dispositivo e l’altro capo al computer per eseguire uno script in Windows che apre l’applicazione Notepad e scrive “DO YOU EVEN VAPE BRO”; niente di pericoloso ma rappresenta la dimostrazione della fattibilità dell’attacco. FourOctets ha dimostrato il potenziale problema scrivendo meno di 20 linee di codice; fortunatamente su questi dispositivi non c’è spazio a sufficienza per memorizzare ed eseguire script lunghi e complessi. Il consiglio è di non consentire a terzi di inserire nei nostri computer dispositivi di cui ignoriamo la provenienza.
Il problema vale anche per apparentemente innocue chiavette USB. Lo scorso anno alla conferenza Black Hat sono stati presentati i risultati di un piccolo esperimento sociale. Sono state distribuite 297 chiavette USB nel campus dell’Università dell’Illinois. Le chiavette contenevano uno script innocuo che inviava semplicemente un avviso ai ricercatori qualora qualcuno avesse inserito il dispositivo in un computer, fornendo informazioni sull’orario e sulla località. I risultati sono stati chiari: il 45% delle chiavette USB erano state inserite in un computer e molte durante le prime 10 ore dal ritrovamento. Un malware inserito in una chiavetta USB potrebbe rubare informazioni sensibili e password.
