Obyčejný USB kabel, který vás hackne. Vypadá úplně nevinně, ale vmžiku vám ukradne vše, co máte

V konektoru běžně vypadajícího USB kabelu se dnes dostane Wi-Fi mikropočítač schopný převzít kontrolu nad vaším počítačem, bez jediné instalace.

Zdroj fotografie: Hacknect

Projekt Hacknect, který právě sbírá peníze na Kickstarteru, vypadá na první pohled jako další gadget pro bastlíře. Jenže ukazuje něco znepokojivého: USB kabel přestal být pasivním kusem mědi a plastu. Stačí ho zapojit do počítače a elektronika ukrytá v konektoru se přihlásí jako důvěryhodná klávesnice. Od té chvíle může psát příkazy, otevírat terminál, stahovat soubory nebo zaznamenávat každý stisk klávesy. Vy přitom vidíte jen kabel, kterým jste chtěli nabít telefon.

Co se skrývá uvnitř konektoru

Srdcem Hacknectu je čip ESP32-S3 od firmy Espressif, mikrokontrolér s integrovanou Wi-Fi a Bluetooth LE, který podle oficiální dokumentace výrobce umí vystupovat jako USB zařízení včetně klávesnice, myši nebo složeného composite zařízení. Celá elektronika je vtěsnána do těla konektoru. Na straně USB-A se navíc skrývá slot na microSD kartu pro ukládání zachycených dat.

Po připojení k počítači se kabel identifikuje jako běžná periferie a operační systém mu automaticky přiřadí ovladač, stejně jako jakékoli jiné klávesnici. Útočník pak přes webový ovládací panel, dostupný přes Wi-Fi, může na dálku:

• spouštět předpřipravené skripty (keystroke injection),
• ovládat kurzor myši,
• zaznamenávat stisknuté klávesy (keylogger),
• odesílat soubory z počítače na microSD kartu,
• otevřít vzdálenou konzoli.

Útok může odstartovat během sekund po rozpoznání zařízení. Rozsah škod pak závisí na konkrétním skriptu, oprávněních uživatelského účtu a tom, co je v systému přístupné. Tvrzení, že kabel automaticky „vysaje vše“, je nadsázka; reálně jde hlavně o přihlašovací údaje vyťukané na klávesnici, vybrané soubory a data, která si útočník nechá skriptem cíleně vytáhnout. I to ale stačí k vážným škodám.

Nic nového pod sluncem, a přesto jiná liga

Hacknect nevynalezl nový typ útoku. Nástroje jako USB Rubber Ducky od Hak5 existují roky a fungují na stejném principu: vydávají se za klávesnici a spouštějí automatizované příkazy. Jenže Rubber Ducky je zařízení velikosti flash disku, které musíte fyzicky zastrčit do USB portu. Vidíte ho. Víte, že tam je.

Bližší příbuzný je O.MG Cable, profesionální penetrační nástroj v podobě kabelu s Wi-Fi implantátem, keyloggerem a vzdáleným řízením. Hacknect se mu funkčně podobá nejvíce. Rozdíl je v ambici: O.MG cílí na profesionální penetrační testery a stojí odpovídající peníze. Hacknect vsází na ESP32-S3, nižší cenu (odměny na Kickstarteru startují kolem 65 eur, tedy zhruba 1 600 Kč) a slib open-source firmwaru po zahájení expedice.

Právě v tom spočívá skutečné riziko. Nejde o bezprecedentní techniku, ale o její zlevnění a zpřístupnění. Čím víc podobných nástrojů koluje, tím pravděpodobnější je, že se jeden z nich ocitne v nesprávných rukou.

Proč je kabel nebezpečnější než klasický malware

Softwarový antivirus hlídá stahované soubory a podezřelé procesy. Proti kabelu, který se tváří jako klávesnice, je ale slepý. Operační systém HID zařízením přirozeně důvěřuje: klávesnice je klávesnice, není důvod ji blokovat. Rubber Ducky navíc umí podvrhnout identifikátory výrobce a produktu, takže se systému jeví jako konkrétní značková klávesnice. Když se totéž schová do kabelu, zmizí i poslední vizuální varování.

Moderní telefony naštěstí nabízejí určitou ochranu. Android vyžaduje odemknutí a výběr režimu přenosu souborů, než povolí datovou komunikaci. iPhony a iPady umí USB příslušenství omezit a držet zamčené, dokud je ručně neschválíte. Na počítačích je situace horší: Windows standardně přijme novou klávesnici bez ptaní.

Jak se bránit: pět praktických kroků

NÚKIB doporučuje nepřipojovat cizí externí USB zařízení. V praxi to znamená:

• Používejte vlastní kabel a nabíječku. Vždy. Na letišti, v hotelu, na konferenci.
• Pro čisté nabíjení pořiďte data blocker, malý adaptér, který fyzicky odpojí datové piny a propustí jen napájení.
• Na telefonu neschvalujte neznámé příslušenství. Pokud vás systém vyzve k povolení datového přenosu a vy jste nic nežádali, odmítněte.
• Ve firmách nastavte USB allowlist. Windows Group Policy nebo Microsoft Defender for Endpoint umožňují blokovat instalaci neautorizovaných USB zařízení.
• Sledujte, co systém hlásí po připojení. Nečekaná nová klávesnice, myš nebo úložiště v oznámeních je varovný signál.

Právní rámec a stav kampaně

Samotné vlastnictví podobného nástroje není v Česku automaticky trestné. Problém nastává při úmyslném neoprávněném použití proti cizímu systému: trestní zákoník v § 230 řeší neoprávněný přístup k počítačovému systému a v § 231 výrobu či přechovávání prostředků určených k páchání takového činu. Kdo Hacknect používá k autorizovanému testování vlastní infrastruktury, pohybuje se v legálním prostoru. Kdo ho nasadí proti cizímu počítači bez souhlasu, může naplnit znaky trestného činu.

Kampaň na Kickstarteru běží od 14. května do 13. června 2026, ke 3. červnu evidovala 337 podporovatelů a necelých 34 000 eur. První expedice jsou slibovány na srpen 2026. Platforma obecně umožňuje podporu z celého světa, ale zda konkrétní kampaň nabízí doručení do Česka, se z veřejných podkladů nepodařilo jednoznačně potvrdit. A jako u každého crowdfundingu platí: nejde o nákup v e-shopu, dodání není garantované.

Hacknect není revoluce. Je to signál. Útočný hardware v podobě kabelu existoval i dřív, ale stál víc a vědělo o něm méně lidí. Teď stojí tolik co slušná večeře pro dva a má vlastní kampaň s videem. Jediná spolehlivá obrana zůstává stejná jako vždycky: nedůvěřujte kabelu, který není váš.