Um desenvolvedor enviou um patch para a lista de discussão do kernel do Linux referente a um novo driver que monitora dispositivos similares a teclados USB em busca de atividades suspeitas. O módulo hid-omg-detect pontua os dispositivos com base em padrões de digitação e outros sinais, sem interferir na entrada normal de dados. Caso um dispositivo pareça malicioso, ele emite um aviso recomendando o uso do USBGuard para bloqueio.
Zubeyr Almaho propôs o driver hid-omg-detect, que observa passivamente as entradas de Dispositivos de Interface Humana (HID) provenientes de dispositivos USB que se assemelham a teclados. Submetido como a segunda revisão, o patch aborda comentários anteriores sobre o gerenciamento de estado e práticas de registro da versão inicial. Os mantenedores do kernel decidirão se ele será incorporado à base de código do kernel do Linux, conforme a proposta na lista de discussão, reportada pelo Phoronix. O driver avalia os dispositivos usando três métricas principais: entropia no tempo de digitação, o atraso entre a conexão e o início da digitação, e a identificação (fingerprinting) dos descritores USB. A digitação humana legítima difere drasticamente da injeção automatizada de teclas por hardware malicioso. Ao exceder um limite de pontuação configurável, o módulo registra um aviso no kernel e sugere o uso da ferramenta de espaço de usuário USBGuard para aplicação de bloqueio, sem alterar ou atrasar qualquer evento de entrada. O patch visa ameaças como o BadUSB, revelado em 2014, no qual dispositivos USB reprogramam seu firmware para imitar teclados e executar cargas maliciosas, como abrir terminais ou baixar malware. Outro exemplo é o cabo O.MG, que oculta um implante em um cabo USB de aparência comum para injetar teclas, registrar dados, falsificar identificadores e habilitar controle remoto via WiFi. Os defensores da proposta observam que esses ataques persistem e evoluem, apesar da menor atenção da mídia.
