O único propósito da tela de bloqueio é impedir o acesso físico a uma sessão de usuário em execução por meio de dispositivos de interface humana (teclados, mouses, monitores ...). Não impede qualquer interação com os serviços do sistema e da sessão por outros meios. Isso significa que o kernel ainda enumerará novos dispositivos USB e enviará notificações sobre eles para o udev, o que, por sua vez, fará coisas como carregar módulos do kernel apropriados ou iniciar um serviço relacionado ao dispositivo.
Além disso, a tela de bloqueio não impede qualquer interação entre (novos) dispositivos USB o sistema firmware (por exemplo, o BIOS), que é o alvo do BadUSB.Linha de fundo:
-
Se você quiser proteger-se contra ataques de firmware, atualize o firmware vulnerável ou não use o hardware criado a partir dele.
-
Se você deseja proteger contra ataques USB contra o sistema operacional (serviços de kernel e espaço do usuário), desative as regras específicas do udev que os habilitam - ou desabilite todas as regras do udev relacionadas a USB para impedir qualquer interação entre o sistema operacional e USB dispositivo 1 sem a ação explícita de um superusuário.
1 , exceto a enumeração, que é inofensiva quando implementada corretamente.