Volgens mij was dit principe al eens door Fox-it gedemonstreerd, op o.a. de vorige infosecurity.nl...

Even kijken of ik dit voor me kan zien.

Een USB-apparaat kan een foute identiteit doorgeven. En dan kan opeens een toetsenbord met een speciaal circuit de harde schijf lezen en de geluidskaart aansturen? Ik zou raar staan te kijken als het USB-protocol daar voorzieningen voor heeft, dat zou allang als een levensgroot lek bekend staan.

Dus moet er software op de computer zelf draaien, aangeleverd door het USB-apparaat. Met de plug-and-play-functionaliteit bedoelen ze dan blijkbaar ook autoplay. Dus is het circuit dat ze hebben toegevoegd een USB storage device met de benodigde inhoud, en een USB-hub om het toetsenbord ook te laten werken via dezelfde aansluiting. Niets nieuws, zoals sjonniev terecht meldde. Met het "vertrouwen" van de foute indentiteit zal bedoeld worden dat het besturingssysteem ten onrechte herkende apparaten niet nog eens als nieuw apparaat meldt aan de gebruiker.

Het gelinkte artikel beschrijft het als een "shortcoming in the way the Universal Serial Bus (USB) works". Als mijn redenatie hierboven klopt hebben we het over de overbekende autoplay-risico's in combinatie met een truukje om de melding van een nieuw apparaat aan de gebruiker te onderdrukken. De zwakte daarvan zit niet in USB (of het ontbreken van sterke authenticatiemethoden voor aangesloten apparaten in het algemeen moet als een zwakte worden gezien) maar in het feit dat het gebruikte besturingssysteem niet verder dan de identificatie van een apparaat kijkt om te concluderen dat het al bekend is.

De onderzoekers hadden niet met ledjes of geluidskaarten hoeven te spelen om iets aan te tonen, een simpele popup van het programma dat meldt dat het is gestart had volstaan. Het door elkaar halen van USB-hardware+protocollen en besturingssysteem komt niet erg professioneel over, maar dat kan aan New Scientist liggen.

Dat autorun lek is is geen nieuws. Dat bij het herkennen van hardware een identificatie wordt gebruikt die ongetwijfeld precies daarvoor bedoeld is is ook geen nieuws. Wat overblijft aan nieuws is dat het vervalsen van die identificatie kan worden gebruikt om een melding aan de gebruiker te onderdrukken, wat de kans op detectie van de aanval verkleint.

Vals plat ken ik van fietsen. Wat bedoel je er in deze context mee?

?
Is dit een grap?

Een knipperend LEDje valt niet op? O IR natuurlijk (hoop ik dan) En worden alle nullen en eentjes door geknipperd. Ben je en paar jaartje zoet om een paar GB door te knipperen. Of je spiekers gaan in eens het geluid van je oude modem maken.
Ik zou de warmhouder ultrasonische golfen laten uit zenden en het trillen van de koffie gebruiken om je data door te zenden. Is sneller en de koffie blijft lekker warm. :p

Zijn dit die zelfde lui die het geluid van en toetsenbord afluisteren om wachtwoorden te kunnen achterhalen?

je kan ook de service uitschakelen
?

Je moet eens zo`n klein laptop usb keyboard in een server ( HP, mijn ervaring ) stoppen en control alt power off drukken. Het ding gaat zonder waarschuwing binnen een paar minuten uit zonder ook maar te hoeven inloggen. Geen trace, geen logging, maar wel uit. simpelweg omdat je usb devices toelaat op je server... Levensgevaarlijk.

"Gaat security tegenwoordig alleen maar over Hacking? Wat een blikvernauwing zeg."

Nee, maar ook lang niet ieder artikel gaat over hacking. Misschien moet je je blik eens wat verbreden. En verder zou het aardig zijn indien je komt met opmerkingen die gerelateerd zijn aan het artikel, en iets toevoegen.