A Ben-Gurion Egyetem kutatói által az idei Usenix Workshop on Offensive Technologies konferencián bemutatott tanulmány szerint a külső beszállítóktól származó alkatrészek tartalmazhatnak olyan rosszindulatú hardverelemeket, amelyek titokban gyűjtögetik a felhasználók adatait. A szakértők több eszközön is demonstrálták, hogy a módosított hardverkomponensekkel többek között észrevétlenül naplózhatók a készüléken végzett billentyűleütések, feloldási minták. Ugyanakkor a módszer kártékony appok telepítésére és fényképek készítésére is lehetőséget ad, amelyeket aztán a készülék e-mailben továbbíthat is a támadóknak. A kutatók speciálisan átalakított kijelzőpanelekkel mutatták be a támadási felületet, egy Nexus 6P és egy LG G Pad 7.0 készüléken - ugyanakkor a szakértők szerint a megoldást iOS platformra is át lehet ültetni.
Az eljárást chip-in-the-middle támadásként is emlegetik. Ennek lényege, hogy az egyébként ártalmatlan érintőkijelzőt egy plusz lapkával egészítik ki, amely a hardver és a készülék operációs rendszere közötti kommunikációs busz adatátvitelt figyeli, illetve adott esetben a támadók kódjával toldja meg. Hogy feltűnésmentesen működhessen, a chip képes akár ideiglenesen lekapcsolni is a kijelzőpanelt. Egy hasonló támadás a kutatók szerint minimális költséggel kivitelezhető, a demonstrációnál használt plusz alkatrészekre például alig 10 dollárt költöttek - egész pontosan egy a barkácsolói közösségben is népszerű, ATmega328 mikrokontrolleres Arduino fejlesztői lapkát használtak. A megoldás ugyanakkor más hasonló, általános célú chipekkel is végrehajtható, a kártékony alkatrészek pedig könnyen sorozatgyártásba állíthatók.
Bár a biztonsági szakértők egyelőre nem beszéltek ilyen ténylegesen is megtörtént hasonló támadásról, hangsúlyozták, hogy a gyártóknak nagyon is komolyan kell venni az unortodox támadási felület jelentette kockázatokat, miután egyszerűen és olcsón megvalósítható módszerről van szó. A módosított komponensek ráadásul alig különböznek az eredeti, gyári alkatrészektől, így még a szervizekben dolgozó technikusoknak sem biztos hogy feltűnne, hogy valami nem stimmel az éppen javított telefonba helyezett kijelzővel. A megoldás akár nagyüzemi szinten, akár egy-egy kiszemelt célpont ellen is hatékony lehet.
Ennek megfelelően, ahogy azt a szakértők is hangsúlyozzák, a gyártóknak hasonló támadásokra is fel kell készülniük és a potenciálisan kártékony (tehát nem a gyárban beszerelt) hardverek jelentette veszélyt is figyelembe kell venniük a készülékek védvonalainak megtervezésénél. A hasonló kockázatok persze jórészt elkerülhetők ha az ember a gyártói szervizre hagyatkozik probléma esetén, amely saját, megbízható forrásaiból szerzi be a komponenseket, ugyanakkor a már nem garanciális telefonok esetén a felhasználók sokszor fordulnak kétes GSM boltokhoz is, akik jellemzően jóval olcsóbb, utángyártott alkatrészeket kínálnak, akár számottevően kisebb munkadíj mellett.
