Obecnie lotniska, restauracje szybkiej obsługi, a nawet autobusy mają stacje ładowania USB. Ale czy te porty publiczne są bezpieczne? Jeśli go użyjesz, czy Twój telefon lub tablet może zostać zhakowany? Sprawdziliśmy to!
Spis treści:
Niektórzy eksperci wszczęli alarm
Niektórzy eksperci uważają, że powinieneś się martwić, jeśli korzystałeś z publicznej stacji ładującej USB. Na początku tego roku badacze z elitarnego zespołu IBM ds. Testów penetracyjnych, X-Force Red, wydał straszne ostrzeżenia o zagrożeniach związanych z publicznymi stacjami ładowania.
„Podłączenie do publicznego portu USB to trochę jak znalezienie szczoteczki do zębów na poboczu drogi i podjęcie decyzji o włożeniu jej do ust” – powiedział Caleb Barlow, wiceprezes ds. Wywiadu zagrożeń w X-Force Red. „Nie masz pojęcia, gdzie to było”.
Barlow zwraca uwagę, że porty USB nie tylko przekazują moc, ale także przesyłają dane między urządzeniami.
Nowoczesne urządzenia dają Ci kontrolę. Nie powinny przyjmować danych z portu USB bez Twojej zgody – dlatego „Zaufaj temu komputerowi?” monit istnieje na iPhone’ach. Jednak dziura w zabezpieczeniach umożliwia obejście tej ochrony. To nieprawda, jeśli po prostu podłączysz zaufany zasilacz do standardowego portu elektrycznego. Jednak w przypadku publicznego portu USB polegasz na połączeniu, które może przenosić dane.
Przy odrobinie technologicznego sprytu można uzbroić port USB i przesłać złośliwe oprogramowanie do podłączonego telefonu. Jest to szczególnie ważne, jeśli urządzenie działa na systemie Android lub starszej wersji iOS, a zatem ma opóźnienia w aktualizacjach zabezpieczeń.
To wszystko brzmi przerażająco, ale czy te ostrzeżenia są oparte na rzeczywistych obawach? Kopałem głębiej, żeby się dowiedzieć.
Od teorii do praktyki
Czy więc ataki na urządzenia mobilne oparte na USB są czysto teoretyczne? Odpowiedź brzmi jednoznacznie: nie.
Badacze bezpieczeństwa od dawna uważali stacje ładowania za potencjalny wektor ataku. W 2011 roku nawet weteran dziennikarzy infosec, Brian Krebs ukuł termin „przeciskanie soku” opisywać exploity, które to wykorzystują. Wraz ze wzrostem popularności urządzeń mobilnych wielu badaczy skupiło się na tym jednym aspekcie.
W 2011 roku, Wall of Sheep, wydarzenie towarzyszące konferencji bezpieczeństwa Defcon, wdrożyło kabiny ładujące, które po użyciu tworzyły wyskakujące okienko na urządzeniu, ostrzegające o niebezpieczeństwach związanych z podłączaniem do niezaufanych urządzeń.
Dwa lata później na imprezie Blackhat USA naukowcy z Georgia Tech zademonstrowali narzędzie które mogą udawać stację ładującą i instalować złośliwe oprogramowanie na urządzeniu z najnowszą wersją iOS.
Mógłbym kontynuować, ale masz pomysł. Najbardziej trafnym pytaniem jest, czy odkrycie „Juice Jacking” przełożyło się na ataki w świecie rzeczywistym. To jest, gdy sprawy stają się nieco mętne.
Zrozumienie ryzyka
Pomimo tego, że „sok wyciskanie” jest popularnym obszarem zainteresowania badaczy ds. Bezpieczeństwa, nie ma prawie żadnych udokumentowanych przykładów napastników wykorzystujących to podejście. Większość doniesień medialnych koncentruje się na dowodach słuszności koncepcji pochodzących od badaczy pracujących dla instytucji, takich jak uniwersytety i firmy zajmujące się bezpieczeństwem informacji. Najprawdopodobniej dzieje się tak dlatego, że z natury trudno jest uzbroić publiczną stację ładowania.
Aby zhakować publiczną stację ładowania, osoba atakująca musiałaby zdobyć określony sprzęt (np. Miniaturowy komputer do wdrażania złośliwego oprogramowania) i zainstalować go, nie dając się złapać. Spróbuj to zrobić na ruchliwym lotnisku międzynarodowym, gdzie pasażerowie są poddawani ścisłej kontroli, a ochrona konfiskuje narzędzia, takie jak śrubokręty, podczas odprawy. Koszty i ryzyko sprawiają, że przeciskanie soku zasadniczo nie nadaje się do ataków wymierzonych w ogół społeczeństwa.
Istnieje również argument, że te ataki są stosunkowo nieskuteczne. Mogą infekować tylko urządzenia podłączone do gniazda ładowania. Ponadto często polegają na lukach w zabezpieczeniach, które producenci mobilnych systemów operacyjnych, tacy jak Apple i Google, regularnie poprawiają.
Realistycznie, jeśli haker manipuluje przy publicznej stacji ładowania, prawdopodobnie jest to część ukierunkowanego ataku na osobę o wysokiej wartości, a nie na osobę dojeżdżającą do pracy, która musi zdobyć kilka procentowych punktów baterii w drodze do pracy.
Bezpieczeństwo przede wszystkim
Celem tego artykułu nie jest bagatelizowanie zagrożeń bezpieczeństwa stwarzanych przez urządzenia mobilne. Czasami do rozprzestrzeniania złośliwego oprogramowania używa się smartfonów. Zdarzały się również przypadki infekcji telefonów podczas połączenia z komputerem zawierającym złośliwe oprogramowanie.
W artykule agencji Reuters z 2016 r. Mikko Hypponen, który faktycznie jest publiczną twarzą firmy F-Secure, opisał szczególnie szkodliwy szczep złośliwego oprogramowania dla Androida który miał wpływ na europejskiego producenta samolotów.
„Hypponen powiedział, że niedawno rozmawiał z europejskim producentem samolotów, który powiedział, że co tydzień czyści kokpity swoich samolotów ze złośliwego oprogramowania przeznaczonego dla telefonów z systemem Android. Szkodliwe oprogramowanie rozprzestrzeniło się na samoloty tylko dlatego, że pracownicy fabryki ładowali swoje telefony przez port USB w kokpicie ”- czytamy w artykule.
„Ponieważ samolot działa na innym systemie operacyjnym, nic by mu nie przyszło. Ale przekaże wirusa na inne urządzenia podłączone do ładowarki ”.
Kupujesz ubezpieczenie domu nie dlatego, że spodziewasz się spalenia domu, ale dlatego, że musisz zaplanować najgorszy scenariusz. Podobnie, należy zachować rozsądne środki ostrożności podczas korzystania ze stacji ładowania komputerów. O ile to możliwe, używaj standardowego gniazdka ściennego zamiast portu USB. W przeciwnym razie rozważ ładowanie przenośnej baterii zamiast urządzenia. Możesz także podłączyć przenośną baterię i ładować z niej telefon podczas ładowania. Innymi słowy, jeśli to tylko możliwe, unikaj bezpośredniego podłączania telefonu do publicznych portów USB.
Mimo że istnieje niewielkie udokumentowane ryzyko, zawsze lepiej być bezpiecznym niż żałować. Generalnie unikaj podłączania swoich rzeczy do portów USB, którym nie ufasz.