Beveiligingsonderzoeker Samy Kamkar heeft een tool met de naam 'PoisonTap' ontwikkeld, waarmee hij onversleuteld webverkeer van een vergrendelde computer kan stelen. Dit is mogelijk door een Raspberry Pi die zich voordoet als ethernet-netwerk, aan de pc te hangen.
Op die manier is een aanvaller in staat om bijvoorbeeld authenticatiecookies te stelen, schrijft Kamkar op zijn website. Daarmee kan een kwaadwillende vervolgens inloggen op accounts van het slachtoffer. Kamkar ontwikkelde PoisonTap voor een Raspberry Pi Zero, maar deze werkt ook met een LAN Turtle of USB Armory. De software zorgt ervoor dat het apparaat zich voordoet als een ethernet-netwerk zodra het op een computer wordt aangesloten. Dit werkt ook bij computers die vergrendeld zijn.
Via een dhcp-antwoord laat het apparaat vervolgens aan de computer weten dat de gehele ipv4-ruimte deel uitmaakt van zijn netwerk. Daardoor verkrijgt het kwaadaardige netwerk prioriteit boven andere netwerkverbindingen. Zolang er op de vergrendelde computer een webbrowser draait met een geopend venster dat een http-verzoek verstuurt, kan het PoisonTap-apparaat het verzoek omleiden naar zijn eigen node.js-webserver. Door gebruik te maken van verborgen iframes maakt PoisonTap verbinding met de miljoen populairste pagina's uit de Alexa-lijst.
Daarbij kan de kwaadaardige webserver zelf kiezen welke headers hij meestuurt, aldus Kamkar. Het apparaat is in staat om zo alle cookies te stelen die over een http-verbinding verstuurd worden. Het is ook mogelijk om cookies bij een https-verbinding te onderscheppen, zolang deze geen veilige flag gebruiken. Daar komt bij dat de iframes fungeren als html- en javascript-backdoors die zonder tijdlimiet in de cache worden opgeslagen. Daardoor blijven deze in het geheugen, ook al wordt het PoisonTap-apparaat losgekoppeld.
Doordat hiermee een WebSocket wordt aangemaakt, kan de aanvaller op een later tijdstip opnieuw met de computer van het slachtoffer verbinding maken en andere aanvallen uitvoeren. Door de backdoors is het eveneens mogelijk om op afstand toegang tot de router van het slachtoffer te verkrijgen. Op die manier is het mogelijk om bij de beheerdersinstellingen te komen, bijvoorbeeld doordat het slachtoffer gebruikmaakt van standaardlogins.
Het staat voorop dat een aanvaller fysieke toegang tot een computer moet hebben om deze aanval uit te voeren. Kamkar meldt dat het mogelijk is om zich tegen deze aanval te beschermen door alleen versleutelde https-verbindingen te gebruiken in combinatie met veilige cookies. Het telkens afsluiten van de browser bij het verlaten van de computer en het uitschakelen van usb- en thunderbolt-poorten behoort ook tot de mogelijkheden.
In een vergelijkbare aanval demonstreerde beveiligingsonderzoeker Rob Fuller onlangs hoe hij met een usb-ethernetadapter de inloggegevens van een vergrendelde Mac of Windows-computer kon stelen. Kamkar ontwikkelde eerder andere aanvallen, waaronder een apparaat dat toetsaanslagen afluistert en kinderspeelgoed waarmee hij garagedeuren kon openen.
Demonstratie van de aanval