V dnešní době mají letiště, restaurace s rychlým občerstvením a dokonce i autobusy USB nabíjecí stanice. Jsou ale tyto veřejné přístavy bezpečné? Pokud jeden používáte, mohlo by dojít k napadení vašeho telefonu nebo tabletu? Zkontrolovali jsme to!
Někteří odborníci zazněli na poplach
Někteří odborníci si myslí, že byste měli být znepokojeni, pokud jste použili veřejnou nabíjecí stanici USB. Začátkem tohoto roku vědci z elitního týmu IBM pro penetrační testování, X-Force Red, vydal hrozná varování o rizicích spojených s veřejnými nabíjecími stanicemi.
"Zapojení do veřejného USB portu je něco jako najít zubní kartáček na straně silnice a rozhodnout se, že si ho strčíte do úst," řekl Caleb Barlow, viceprezident pro zpravodajství o ohrožení v X-Force Red. "Nemáš tušení, kde ta věc byla."
Barlow zdůrazňuje, že USB porty nejen přenášejí energii, ale také přenášejí data mezi zařízeními.
Moderní zařízení vám dávají kontrolu. Bez vašeho svolení by neměli přijímat data z USB portu - proto "Důvěřovat tomuto počítači?" výzva na iPhonech existuje. Bezpečnostní díra však nabízí tuto ochranu. To není pravda, pokud jednoduše zapojíte důvěryhodnou napájecí kostku do standardního elektrického portu. S veřejným USB portem se ale spoléháte na připojení, které dokáže přenášet data.
S trochou technologické rafinovanosti je možné vyzbrojit port USB a zaslat malware do připojeného telefonu. To platí zejména v případě, že na zařízení běží Android nebo starší verze iOS, a proto je pozadu na svých aktualizacích zabezpečení.
Zní to strašidelně, ale jsou tato varování založena na obavách ze skutečného života? Kopal jsem hlouběji, abych to zjistil.
Od teorie k praxi
Jsou tedy útoky na mobilní zařízení založené na USB čistě teoretické? Odpověď je jednoznačné ne.
Bezpečnostní vědci již dlouho považují nabíjecí stanice za potenciální útočný vektor. V roce 2011 dokonce veteránský novinář Brian Krebs vytvořil termín „džusový zvedák“ popsat exploity, které to využívají. Jelikož se mobilní zařízení přiblížila masovému přijetí, mnoho vědců se zaměřilo na tento jeden aspekt.
V roce 2011, Wall of Sheep, okrajová událost na bezpečnostní konferenci Defcon, nasadila nabíjecí kabiny, které při použití vytvořily vyskakovací okno na zařízení, které varovalo před nebezpečím zapojení do nedůvěryhodných zařízení.
O dva roky později, na akci Blackhat USA, vědci z Georgia Tech předvedli nástroj které by se mohly vydávat za nabíjecí stanici a instalovat malware do zařízení s nejnovější verzí iOS.
Mohl bych pokračovat, ale dostanete nápad. Nejrelevantnější otázkou je, zda objev „ Juice Jacking “ se promítlo do skutečných útoků. To je místo, kde se věci trochu zatemňují.
Pochopení rizika
Přestože je „útok na džusy“ oblíbenou oblastí, na kterou se zaměřují bezpečnostní vědci, sotva existují zdokumentované příklady útočníků, kteří tento přístup ozbrojili. Většina mediálního pokrytí se zaměřuje na ověření koncepce od výzkumníků, kteří pracují pro instituce, jako jsou univerzity a firmy zabývající se bezpečností informací. Je to nejpravděpodobnější proto, že je neodmyslitelně obtížné vyzbrojit veřejnou nabíjecí stanici.
K hacknutí veřejné nabíjecí stanice by útočník musel získat konkrétní hardware (například miniaturní počítač k rozmístění malwaru) a nainstalovat jej, aniž by ho někdo chytil. Zkuste to udělat na rušném mezinárodním letišti, kde jsou cestující pod důkladným dohledem, a bezpečnost při odbavení zabavuje nástroje, jako jsou šroubováky. Díky nákladům a riziku je zvedání šťávy zásadně nevhodné pro útoky zaměřené na širokou veřejnost.
Existuje také argument, že tyto útoky jsou relativně neúčinné. Mohou infikovat pouze zařízení připojená k nabíjecí zásuvce. Kromě toho se často spoléhají na bezpečnostní mezery, které výrobci mobilních operačních systémů, jako jsou Apple a Google, pravidelně opravují.
Realisticky, pokud hacker narazí na veřejnou nabíjecí stanici, je to pravděpodobně součást cíleného útoku proti vysoce hodnotnému jednotlivci, nikoli dojíždějícímu, který potřebuje na cestě do práce získat několik procentních bodů baterie.
Bezpečnost především
Účelem tohoto článku není bagatelizovat bezpečnostní rizika, která představují mobilní zařízení. Chytré telefony jsou někdy se používá k šíření malwaru. Vyskytly se také případy napadení telefonů při připojení k počítači, který obsahuje škodlivý software.
V článku agentury Reuters z roku 2016 Mikko Hypponen, který je ve skutečnosti veřejnou tváří společnosti F-Secure, popsal obzvláště zhoubný kmen malwaru Android který zasáhl evropského výrobce letadel.
"Hypponen uvedl, že nedávno mluvil s evropským výrobcem letadel, který řekl, že každý týden čistí kokpity svých letadel od malwaru určeného pro telefony Android." Malware se rozšířil do letadel pouze proto, že zaměstnanci továrny nabíjeli své telefony USB portem v kokpitu, “uvedl článek.
"Protože letadlo provozuje jiný operační systém, nic by ho nenapadlo." Ale virus by se přenesl na další zařízení připojená k nabíječce. “
Pojištění domácnosti si nekupujete proto, že očekáváte vyhoření domu, ale proto, že musíte plánovat nejhorší scénář. Podobně byste měli přijměte rozumná opatření, když používáte nabíjecí stanice počítače . Kdykoli je to možné, použijte spíše standardní zásuvku než USB port. Jinak zvažte spíše nabíjení přenosné baterie než zařízení. Můžete také připojit přenosnou baterii a nabíjet z ní telefon během nabíjení. Jinými slovy, pokud je to možné, nepřipojujte telefon přímo k veřejným portům USB.
Přestože existuje zdokumentované riziko, je vždy lepší být v bezpečí, než litovat. Obecně platí, že své věci nepřipojujte k USB portům, kterým nedůvěřujete.
PŘÍBUZNÝ: Jak se chránit před veřejnými USB nabíjecími porty
