Estoy asumiendo que no hay acceso físico. Algunos dispositivos han firmado firmware, por lo que es un poco más difícil, pero no imposible. ¿Hay algo que un usuario final pueda hacer para que sea más difícil para un atacante? Tal vez alguna opción especial de compilación del kernel o algo similar a firejail que permita que solo ciertos comandos pasen al dispositivo USB. Aunque esto siempre dependería de la integridad del sistema operativo. ¿Hay algo que podrías hacer directamente en el dispositivo USB? ¿Como flashear tu propio firmware firmado? Algunos dispositivos también tienen un interruptor de protección contra escritura, pero no sé si esto evitaría la sobrescritura del firmware.