Un dispositivo USB con "firmware manipulado" puede hacer cosas malas. Para un caso extremo, consulte esta respuesta : el dispositivo USB puede indicar al sistema operativo "hey, soy FireWire -a-USB-convertidor XY, descargue mi controlador de su proveedor, luego concédame acceso DMA completo cuando yo lo diga ". Aunque teórico todavía, esto no es ciencia ficción, y seguro que da miedo.
Para configuraciones más mundanas, incluidas algunas que realmente ocurrieron, consulte esta respuesta .
Incluso si el dispositivo USB es "solo" una unidad USB con un firmware honesto y un sistema de archivos vacío, todavía tiene un sector de arranque (el primer sector, el que contiene la tabla de particiones) que es el código; pero ese solo se activará si el usuario intenta arrancar su máquina a través de USB (esto funcionó de maravilla en la era del disquete, porque la mayoría de las máquinas intentarían arrancar desde el disquete si está presente; hoy en día, si casi todas las PC pueden arranca desde una unidad USB, la mayoría no lo intentará por defecto).