I disse dage har lufthavne, fastfood-restauranter og endda busser USB-ladestationer. Men er disse offentlige havne sikre? Hvis du bruger en, kan din telefon eller tablet blive hacket? Vi tjekkede det ud!
Nogle eksperter har slået alarmen
Nogle eksperter mener, at du skal være bekymret, hvis du har brugt en offentlig USB-ladestation. Tidligere på året undersøgte forskere fra IBMs elite-penetrationstestteam, X-Force Red, udsendte dystre advarsler om de risici, der er forbundet med offentlige ladestationer.
”At tilslutte en offentlig USB-port er ligesom at finde en tandbørste ved siden af vejen og beslutte at stikke den i munden,” sagde Caleb Barlow, vicepræsident for trusselsunderretning hos X-Force Red. "Du har ingen idé om, hvor den ting har været."
Barlow påpeger, at USB-porte ikke kun overfører strøm, de overfører også data mellem enheder.
Moderne enheder sætter dig i kontrol. De formodes ikke at acceptere data fra en USB-port uden din tilladelse - det er derfor "Stol på denne computer?" hurtig findes på iPhones. Imidlertid tilbyder et sikkerhedshul en vej rundt om denne beskyttelse. Det er ikke sandt, hvis du bare tilslutter en betroet strømsten til en standard elektrisk port. Med en offentlig USB-port er du dog afhængig af en forbindelse, der kan bære data.
Med lidt teknologisk snedighed er det muligt at anvende en USB-port og skubbe malware til en tilsluttet telefon. Dette gælder især, hvis enheden kører Android eller en ældre version af iOS og derfor er bagud på dens sikkerhedsopdateringer.
Det hele lyder skræmmende, men er disse advarsler baseret på virkelige bekymringer? Jeg gravede dybere for at finde ud af det.
Fra teori til praksis
Så er USB-baserede angreb på mobile enheder rent teoretiske? Svaret er et utvetydigt nej.
Sikkerhedsforskere har længe betragtet ladestationer som en potentiel angrebsvektor. I 2011 blev veteraninfosec-journalisten, Brian Krebs, endda opfundet udtrykket "juice jacking" at beskrive bedrifter, der drager fordel af det. Da mobile enheder er kommet mod masseadoption, har mange forskere fokuseret på denne ene facet.
I 2011 indsatte Wall of Sheep, en udkantsbegivenhed på Defcon-sikkerhedskonferencen, opladningsbåse, der, når de blev brugt, skabte en pop op-vindue på enheden, der advarede om farerne ved at tilslutte til ikke-betroede enheder.
To år senere, ved Blackhat USA-begivenheden, forskere fra Georgia Tech demonstrerede et værktøj der kunne skjule sig som en ladestation og installere malware på en enhed, der kører den daværende version af iOS.
Jeg kunne fortsætte, men du får ideen. Det mest relevante spørgsmål er, om opdagelsen af “ Juice Jacking ” har oversat til virkelige angreb. Det er her, tingene bliver lidt skumle.
Forståelse af risikoen
På trods af at "juice jacking" er et populært fokusområde for sikkerhedsforskere, er der næppe dokumenterede eksempler på angribere, der forsøger at benytte tilgangen. Det meste af mediedækningen fokuserer på proofs of concept fra forskere, der arbejder for institutioner som universiteter og informationssikkerhedsfirmaer. Mest sandsynligt er det, fordi det i sagens natur er vanskeligt at våbenføre en offentlig ladestation.
For at hacke en offentlig ladestation skal angriberen skaffe specifik hardware (såsom en miniaturecomputer til at implementere malware) og installere den uden at blive fanget. Prøv at gøre det i en travl international lufthavn, hvor passagererne er under intens kontrol, og sikkerhed konfiskerer værktøjer, som skruetrækkere, ved indtjekningen. Omkostningerne og risikoen gør juice jacking fundamentalt dårligt egnet til angreb rettet mod offentligheden.
Der er også argumentet for, at disse angreb er relativt ineffektive. De kan kun inficere enheder, der er tilsluttet et opladningsstik. Desuden er de ofte afhængige af sikkerhedshuller, som producenter af mobile operativsystemer, som Apple og Google, regelmæssigt lapper.
Realistisk set, hvis en hacker tamperer med en offentlig ladestation, er det sandsynligvis en del af et målrettet angreb mod en højtstående person, ikke en pendler, der har brug for at få et par batteriprocentpoint på vej til arbejde.
Sikkerhed først
Det er ikke meningen med denne artikel at nedtone de sikkerhedsrisici, der er forbundet med mobile enheder. Smartphones er nogle gange brugt til at sprede malware. Der har også været tilfælde af, at telefoner blev inficeret, mens de var tilsluttet en computer, der indeholder skadelig software.
I en artikel fra Reuters i 2016 sagde Mikko Hypponen, der faktisk er F-Secures offentlige ansigt, beskrev en særlig skadelig stamme af Android-malware der påvirkede en europæisk flyproducent.
”Hypponen sagde, at han for nylig havde talt med en europæisk flyproducent, der sagde, at den hver uge renser cockpit fra sine fly for malware designet til Android-telefoner. Malware spredte sig kun til flyene, fordi fabriksmedarbejdere oplader deres telefoner med USB-porten i cockpittet, ”hedder det i artiklen.
”Fordi flyet kører et andet operativsystem, ville intet ramme det. Men det ville overføre virussen til andre enheder, der blev tilsluttet opladeren. ”
Du køber boligforsikring ikke fordi du forventer, at dit hus brænder ned, men fordi du skal planlægge det værste tilfælde. Tilsvarende skal du tage fornuftige forholdsregler, når du bruger computeropladestationer . Når det er muligt, skal du bruge en standard stikkontakt i stedet for en USB-port. Ellers overvej at oplade et bærbart batteri i stedet for din enhed. Du kan også tilslutte et bærbart batteri og oplade din telefon fra det, når det oplades. Med andre ord, undgå, når det er muligt, at tilslutte din telefon direkte til offentlige USB-porte.
Selvom der er lidt dokumenteret risiko, er det altid bedre at være sikker end ked af det. Undgå som regel at tilslutte dine ting til USB-porte, som du ikke har tillid til.
RELATEREDE: Sådan beskytter du dig mod offentlige USB-opladningsporte
