Juice Jacking: Dlaczego nigdy nie powinieneś używać publicznych stacji ładowania
Jeśli zabijasz czas w centrum handlowym lub na lotnisku, być może zauważyłeś te bezpłatne stacje ładowania. Są to kioski z otwartymi portami USB obok gniazdka, do których można podłączyć kabel ładujący. Mogą też mieć zwisające kable do ładowania przygotowane do portu ładowania telefonu. Dla tych, którzy mają niewielki kawałek baterii i długi postój, mogą wydawać się fantastycznie hojnymi dobrodziejstwami bogów lotniska.
Ale pomyśl o tym przez chwilę.
To jest twój smartfon. Zawiera wszystkie twoje zdjęcia, kontakty, wiadomości, hasła i dane osobowe. Czy na pewno chcesz przykleić jakiś stary kabel do swojego portu danych?
Hakerzy i eksperci infosec udowodnili, że możliwe jest przejęcie publicznej stacji ładującej za pomocą złośliwego urządzenia. Słyszałeś o szumowaniu karty kredytowej przy pompie, prawda? To jest ekwiwalent mobilnej technologii. To, co może wydawać się łagodnym, ogólnym portem USB lub kablem ładującym, może być podłączone do małego urządzenia, które instaluje złośliwe oprogramowanie w telefonie lub, co gorsza, wykrada dane z telefonu.
Czekaj, czy ludzie naprawdę włamują się do kiosków do ładowania telefonu?
Nie mogę powiedzieć, że natknąłem się na niedawny artykuł informujący o rzeczywistym przypadku tzw. "Przeciskania soku". Jednak w ubiegłym dziesięcioleciu koncepcja ta została udowodniona przez badaczy zajmujących się bezpieczeństwem. Niedawno demonstracja w DEF CON w sierpniu pokazała, że kamera telefonu może zostać przejęta przez ukrytą stację ładującą USB ("video jacking"). Szczerze mówiąc, podobnie jak pobieranie kart kredytowych, większość przypadków włamań lub nieautoryzowanego dostępu do smartfonów pozostaje niewykryta.
Tak, tak, przeciskanie soku jest prawdziwe.
Jak wrażliwy jest mój telefon?
Dobrą wiadomością jest to, że twórcy telefonów komórkowych pracowali nad tym problemem, a telefony są teraz bezpieczniejsze. Jak zapewne zauważyliście, urządzenia Apple takie jak iPhone i iPad dają teraz okno dialogowe "Zaufaj temu komputerowi?" Po podłączeniu telefonu do nowego komputera lub urządzenia. Teoretycznie, jeśli powiesz "nie ufaj", to urządzenie, z którym się łączysz, nie powinno mieć dostępu do twoich danych. Telefony z Androidem mają również podobne zabezpieczenia i funkcje uwierzytelniania.
Jeśli podłączasz się do stacji ładującej, która naprawdę służy wyłącznie do zasilania (np. Po podłączeniu do ściany za pomocą zasilacza sieciowego), nie powinieneś otrzymywać monitu "Zaufaj temu komputerowi". Jeśli podłączasz się do publicznego stację ładującą i otrzymaj to polecenie, jest to duża czerwona flaga . Odłącz swój telefon JAK NAJSZYBCIEJ i niech ci wokół ciebie wiedzą, że coś jest nie tak.
Co mogę zrobić, aby zapobiec przeciskaniu soku?
Okay, tytuł tego postu mógł być nieco ekstremalny. Istnieją sposoby bezpiecznego ładowania telefonu w miejscach publicznych.
Tylko dlatego, że teoretyczne ataki mogą zostać uruchomione przez porwaną publiczną stację ładującą, nie oznacza, że musisz zrezygnować z wygody. Oprócz pytania "Zaufaj temu komputerowi?", Istnieje kilka innych środków bezpieczeństwa, które możesz podjąć. I tak jak w przypadku każdego problemu związanego z bezpieczeństwem, zawsze najlepiej jest mieć warstwę ochronną - sprytni hakerzy mogą ominąć środki uwierzytelniające zaufane urządzenie.
- Weź swoją własną ładowarkę. Wrzuć zasilacz lub zasilacz do torebki lub aktówki i użyj ich zamiast tego. Ponieważ jest to Twoje urządzenie, możesz być pewien, że tylko uzyskasz z niego moc. Ponadto możesz podłączyć go do dowolnego gniazdka elektrycznego, dzięki czemu jest jeszcze wygodniejszy.
Oznacza to, że możesz kupić specjalny kabel USB, który nie ma po prostu pinoutów dla pinów 3 i 2. Dlatego niemożliwe jest przesyłanie danych przez niego. Na przykład tutaj jest kabel do ładowania iPhone'a z portem zasilany tylko portem przez około 7 USD. Ta sama firma produkuje kabel micro USB tylko do ładowania, który będzie działać na telefonach Samsung, HTC i Google. Kable te będą ładować tylko telefon i zapobiegać przenoszeniu danych przez niego.
PortaPow sprzedaje swoje własne produkty z prezerwatywy USB za mniej więcej taką samą cenę: adapter USB PortaPow Fast Charge + Data Block USB z chipem SmartCharge.
Wniosek
Tam to masz. Wyciskanie soku jest prawdziwe. Ale jeśli jesteś ostrożny, możesz znacznie zmniejszyć podatność. Co więcej, niektóre rozwiązania - takie jak szybki kabel ładujący lub przenośny bank mocy - są przydatne z powodów innych niż bezpieczeństwo urządzeń.
Czy kiedykolwiek martwiłeś się o bezpieczeństwo publicznych stacji ładowania? Powiedz nam, co robisz, aby pozostać bezpiecznie naładowanym na bieżąco w komentarzach poniżej.
Akumulator obrazu diagramu USB:
Autor: Simon Eugster - Simon /?! 19:02, 7 stycznia 2008 (UTC) (własne malarstwo / grafika) [GFDL (http://www.gnu.org/copyleft/fdl.html), CC-BY-SA-3.0 (http: // creativecommons. org / licenses / by-sa / 3.0 /) lub CC BY-SA 2.5-2.0-1.0 (http://creativecommons.org/licenses/by-sa/2.5-2.0-1.0)], za pośrednictwem Wikimedia Commons