Van, hogy a legerősebb jelszó sem elég - Samy Kamkar pedig bebizonyította, hogy egyes helyzetekben semmit sem ér.
A PoisonTap nevű exploit ingyenes szoftvert és egy 5 dolláros Raspberry Pi Zero gépet használ. Miután az eszközt valaki csatlakoztatja egy géphez, az működésbe lép. 30 másodperc alatt képes megkerülni a zárolt kijelzőt, majd egy hátsó kaput telepíteni, ami az eszköz eltávolítása után is használható marad.
A PoisonTap nem a megadott jelszót próbálja meg kitalálni, hanem teljesen megkerüli azt. A csatlakozás után USB-n keresztüli internetet emulál, aminek a hatására a gép azt feltételezi, hogy Etherneten kapcsolódott. Emiatt aztán minden titkosítatlan webes forgalmi adatot a készülékre küld át, mindegy, ha előtte csatlakozva voltunk egy WiFi-hálózathoz. A készülék eléri, hogy a gépek a saját kapcsolatát részesítsék előnyben.
Az eszköz ezután ellopja a HTTP-alapú azonosítósütiket, amikkel a privát fiókokba lehet bejelentkezni. A módszer miatt a kétlépcsős hitelesítés is hatástalan védelmi vonal ellene.
A módszer egyetlen hátránya, hogy a működéséhez nyitva kell legyen a böngészőben egy lap. A tapasztalatok szerint azonban a legtöbben hagynak ilyet a gépükön, még ha le is zárják a laptopot.
Kamkar szerint fontos, hogy zárjuk be a böngészőt, ha elmegyünk a géptől. Felhívta a figyelmet a böngésző gyorsítótárának rendszeres törlésére, a teljes lemeztitkosításra és az USB portok letiltására.
