En utvecklare har skickat in en patch till Linux-kärnans e-postlista för en ny drivrutin som övervakar USB-enheter som liknar tangentbord efter misstänkt aktivitet. Modulen hid-omg-detect poängsätter enheter baserat på skrivmönster och andra signaler utan att störa normal inmatning. Om en enhet verkar skadlig utfärdas en varning som rekommenderar användning av USBGuard för blockering.
Zubeyr Almaho har föreslagit drivrutinen hid-omg-detect, som passivt observerar inmatningar från Human Interface Devices (HID) som kommer från USB-enheter som liknar tangentbord. Patchen, som lämnats in i sin andra version, adresserar tidigare återkoppling gällande tillståndshantering och loggningspraxis från den ursprungliga versionen. Kärnutvecklare kommer att avgöra om den ska införlivas i Linux-kärnans kodbas, enligt förslaget på e-postlistan, vilket rapporterats av Phoronix. Drivrutinen utvärderar enheter med hjälp av tre nyckeltal: entropi i tangenttryckningstider, fördröjningen mellan inkoppling och påbörjad skrivning, samt fingeravtryck av USB-deskriptorer. Legitim mänsklig skrivning skiljer sig markant från automatiserad insprutning av tangenttryckningar utförd av skadlig hårdvara. När ett konfigurerbart poängtröskelvärde överskrids loggar modulen en varning i kärnan och föreslår användning av verktyget USBGuard i användarymden för åtgärder, utan att ändra eller fördröja några inmatningshändelser. Patchen riktar sig mot hot som BadUSB, som avslöjades 2014, där USB-enheter omprogrammeras i sin firmware för att efterlikna tangentbord och exekvera nyttolaster som att öppna terminaler eller ladda ner skadlig kod. Ett annat exempel är O.MG Cable, som döljer ett implantat i en USB-kabel som ser standardmässig ut för att injicera tangenttryckningar, logga data, förfalska identifierare och möjliggöra fjärrstyrning via WiFi. Förespråkare noterar att dessa attacker kvarstår och utvecklas trots minskad medieuppmärksamhet.
