Obecnie stacje ładowania USB można znaleźć w lotniskach, fast foodach, a nawet w autobusach. Jednakże, czy korzystanie z tych publicznych portów jest bezpieczne? Czy użycie ich może prowadzić do zhakowania Twojego telefonu lub tabletu? Postanowiliśmy zbadać tę sprawę!
Eksperci podnoszą alarm
Niektórzy specjaliści są zdania, że użytkowanie publicznych stacji ładowania USB powinno budzić niepokój. Na początku tego roku zespół IBM X-Force Red, zajmujący się testami penetracyjnymi, ostrzegał przed zagrożeniami związanymi z tymi stacjami.
„Podłączenie do publicznego portu USB przypomina znalezienie szczoteczki do zębów na ulicy i zdecydowanie się na jej użycie” – stwierdził Caleb Barlow, wiceprezes ds. wywiadu zagrożeń w X-Force Red. „Nie masz pojęcia, gdzie to było”.
Barlow zwraca uwagę, że porty USB nie tylko dostarczają energię, ale również przesyłają dane pomiędzy urządzeniami.
Nowoczesne urządzenia oferują użytkownikowi kontrolę. Nie powinny one akceptować danych z portu USB bez wyraźnej zgody, co ilustruje komunikat „Zaufaj temu komputerowi?” na iPhone’ach. Mimo to, istnieją luki w zabezpieczeniach, które mogą umożliwić obejście tej ochrony. W przypadku podłączenia do zaufanego zasilacza w standardowym gniazdku elektrycznym takie ryzyko nie występuje. Jednak przy korzystaniu z publicznego portu USB opierasz się na połączeniu, które może przesyłać dane.
Za pomocą odpowiednich narzędzi można skonstruować port USB umożliwiający przesyłanie złośliwego oprogramowania do podłączonego telefonu. Jest to szczególnie niebezpieczne dla użytkowników urządzeń działających na systemach Android lub starszych wersjach iOS, które mogą mieć opóźnienia w aktualizacjach zabezpieczeń.
Chociaż te ostrzeżenia brzmią alarmująco, warto zastanowić się, czy są one oparte na realnych zagrożeniach. Postanowiliśmy to zbadać.
Teoria versus praktyka
Czy zatem zagrożenia związane z atakami na urządzenia mobilne przez porty USB to jedynie teoria? Odpowiedź brzmi: zdecydowanie nie.
Specjaliści od bezpieczeństwa od dawna wskazują na stacje ładowania jako potencjalne źródło ataków. W 2011 roku znany dziennikarz zajmujący się bezpieczeństwem, Brian Krebs, wprowadził termin „juice jacking”, opisujący tego typu exploity. Wraz z rosnącą popularnością urządzeń mobilnych, temat ten stał się przedmiotem zainteresowania wielu badaczy.
Na konferencji Defcon w 2011 roku, podczas wydarzenia Wall of Sheep, stworzono stanowiska ładowania, które po użyciu wyświetlały komunikaty ostrzegawcze na urządzeniach, informując o ryzykach związanych z podłączaniem do niezaufanych źródeł.
Dwa lata później na konferencji Blackhat USA naukowcy z Georgia Tech zaprezentowali narzędzie, które mogło imitować stację ładującą i instalować złośliwe oprogramowanie na urządzeniach z najnowszą wersją iOS.
Mógłbym przytaczać więcej przykładów, ale myślę, że rozumiesz. Kluczowe pytanie brzmi, czy zjawisko „juice jacking” przerodziło się w rzeczywiste ataki. Tutaj sprawy stają się nieco bardziej skomplikowane.
Zrozumienie ryzyka
Choć „juice jacking” jest popularnym tematem w badaniach bezpieczeństwa, istnieje niewiele udokumentowanych przypadków, w których przestępcy wykorzystali tę metodę. Większość doniesień medialnych opiera się na teoriach przedstawianych przez badaczy związanych z uczelniami i firmami zajmującymi się bezpieczeństwem. Prawdopodobnie wynika to z faktu, że zhakowanie publicznej stacji ładowania jest z natury trudne.
Aby przeprowadzić atak, haker musiałby zdobyć odpowiedni sprzęt (np. miniaturowy komputer) i zainstalować go w sposób, który nie wzbudziłby podejrzeń. Wykonanie takiego zadania w ruchliwym międzynarodowym porcie lotniczym, gdzie pasażerowie są dokładnie kontrolowani, stanowiłoby duże wyzwanie. Koszty i ryzyko sprawiają, że „juice jacking” nie jest praktycznym podejściem do ataków na ogół społeczeństwa.
Istnieje również argument, że tego typu ataki są stosunkowo nieskuteczne. Mogą one zainfekować tylko te urządzenia, które są podłączone do stacji ładowania, a wiele z nich polega na lukach w zabezpieczeniach, które są regularnie łatanie przez producentów systemów operacyjnych, takich jak Apple i Google.
W praktyce, jeśli haker manipulowałby publiczną stacją ładowania, raczej dążyłby do konkretnego celu – osoby o wysokiej wartości – a nie do zwykłego użytkownika, który chce jedynie naładować swoje urządzenie.
Priorytetem jest bezpieczeństwo
Celem tego artykułu nie jest umniejszanie zagrożeń związanych z bezpieczeństwem mobilnym. W niektórych przypadkach urządzenia mobilne były wykorzystywane do rozpowszechniania złośliwego oprogramowania. Zdarzały się także przypadki infekcji telefonów podczas podłączenia do komputerów z zainfekowanym oprogramowaniem.
W artykule Reuters z 2016 roku Mikko Hypponen, znany przedstawiciel firmy F-Secure, opisał szczególnie groźny wirus dla Androida, który zainfekował europejskiego producenta samolotów.
„Hypponen wspomniał, że niedawno rozmawiał z europejskim producentem samolotów, który co tydzień oczyszczał kokpity swoich maszyn z złośliwego oprogramowania przeznaczonego dla telefonów z systemem Android. Szkodliwe oprogramowanie dotarło do samolotów wyłącznie dlatego, że pracownicy fabryki ładowali swoje telefony przez port USB w kokpicie” – można przeczytać w artykule.
„Mimo że samolot działa na innym systemie operacyjnym, wirus mógł zostać przekazany innym urządzeniom podłączonym do ładowarki”.
Kupujesz ubezpieczenie nieruchomości nie dlatego, że przewidujesz pożar, ale dlatego, że musisz być przygotowany na najgorsze scenariusze. Podobnie, warto zachować ostrożność korzystając z publicznych stacji ładowania. Gdy to możliwe, korzystaj ze standardowych gniazdek ściennych zamiast portów USB. Jeśli nie masz innego wyboru, rozważ ładowanie przenośnej baterii, a następnie podłączenie do niej telefonu. Innymi słowy, unikaj bezpośredniego łączenia telefonu z publicznymi portami USB, jeśli to tylko możliwe.
Choć udokumentowane ryzyko jest niewielkie, zawsze lepiej jest być ostrożnym. Generalnie unikaj podłączania swoich urządzeń do portów USB, którym nie ufasz.