Vodja znanstvenikov Karsten Nohl je za Reuters povedal, da lahko hekerji zlonamerno kodo namestijo na majhne poceni čipe, ki nadzirajo delovanje USB naprav, zaradi česar jih protivirusni programi obravnavajo kot varno tovarniško opremo. Posledično izvora zlonamerne kode ni možno zaznati.
Tovrstni virusi bi se lahko nahajali v USB ključih, tipkovnicah, miškah in vseh drugih napravah, ki jih priključujemo prek USB vhoda. Ko je naprava enkrat priključena, pa lahko zlonamerna koda beleži pritiske na tipke tipkovnice, vohuni za komunikacijo uporabnikov in celo uniči oziroma manipulira s shranjenimi podatki.
USB naprave kot z virusom okužene igle
Dodaten problem predstavlja dejstvo, da poleg slepote protivirusnih programov za tovarniško programsko opremo na USB napravah zlonamerna koda lahko prelisiči računalnik, da gre za ukaze, ki jih daje uporabnik prek USB naprave. Tako lahko zlonamerna koda računalniku da ukaz, naj s spleta sname drugo zlonamerno kodo, naprava pa meni, da je bil ukaz vnesen s pritiskanjem gumbov na tipkovnici ali miški. Prav tako naj bi zlonamerna koda na eni od USB naprav lahko okužila še ostale naprave, ki so na računalnik priklopljene prek USB vhoda, s čimer problem postaja še hujši in težje odpravljiv.
Ker lahko virus okuži tudi druge USB naprave pri SR Labs slednje primerjajo z iglami, ki postanejo potencialno nevarne v hipu, ko jih uporabijo drugi uporabniki. Podobno se lahko nevidni virus širi prek USB naprav, če jih vklopimo v okužen računalnik in nato še v svojega.
USB naprave že večkrat sredstvo za vohunjenje in širjenje zlonamerne kode
Pri podjetju zato pozivajo izdelovalce USB naprav, naj otežijo manipuliranje s programsko opremo, ki jo računalniki prepoznajo kot prednaloženo tovarniško programsko opremo. Tokratno odkritje pomanjkljivosti pa ni prvi primer, ko so pozornost zaskrbljenih nad računalniško varnostjo pritegnile USB naprave.
Spomnimo na pisanje NY Times iz januarja letos, ko so razkrili, da je NSA že leta 2008 uporabljala USB naprave kot oddajnike prikritih radijskih valov, prek katerih so lahko nadzirali tudi računalnike, ki niso bili povezani s spletom, a so imeli vklopljene z oddajniki opremljene USB naprave. Primer takšnega napada naj bi bil po poročanju NY Times tudi napad zlonamerne kode Stuxnet na iranski jedrski program. Veliko prahu pa je dvignil tudi incident z okuženimi USB ključi, ki naj bi jih državam partnericam na vrhu G20 v Sankt Peterburgu septembra lani podarila Rusija.
