Nykyään lentokentillä, pikaruokaravintoloissa ja jopa busseissa on USB-latausasemat. Mutta ovatko nämä julkiset satamat turvallisia? Jos käytät yhtä, voisiko puhelimesi tai tablet-laitteesi hakata? Tarkistimme sen!
Jotkut asiantuntijat ovat antaneet hälytyksen
Jotkut asiantuntijat katsovat, että sinun pitäisi olla huolissasi, jos olet käyttänyt julkista USB-latausasemaa. Aiemmin tänä vuonna IBM: n eliitin tunkeutumistestausryhmän, X-Force Redin, tutkijat antoi hirvittäviä varoituksia julkisiin latausasemiin liittyvistä riskeistä.
"Liittäminen julkiseen USB-porttiin on eräänlainen tapa löytää hammasharja tien reunasta ja päättää kiinnittää se suuhusi", sanoi Caleb Barlow, X-Force Redin uhkatiedustelupäällikkö. "Sinulla ei ole aavistustakaan missä asia on ollut."
Barlow huomauttaa, että USB-portit eivät pelkästään välitä virtaa, vaan ne myös siirtävät tietoja laitteiden välillä.
Nykyaikaiset laitteet antavat sinun hallita. Heidän ei pitäisi hyväksyä tietoja USB-portista ilman lupaasi - siksi "Luota tähän tietokoneeseen?" kehote on olemassa iPhonessa. Turva-aukko tarjoaa kuitenkin kiertotavan suojaan. Tämä ei ole totta, jos liität luotettavan virtatiilet vain tavalliseen sähköporttiin. Julkisen USB-portin avulla luotat kuitenkin yhteyteen, joka voi kuljettaa tietoja.
Pienellä teknologisella oveluudella on mahdollista aseistaa USB-portti ja työntää haittaohjelmia yhdistettyyn puhelimeen. Tämä pätee erityisesti, jos laitteessa on Android tai iOS: n vanhempi versio, ja siksi se on takana sen tietoturvapäivityksissä.
Kaikki kuulostaa pelottavalta, mutta perustuvatko nämä varoitukset tosielämän huoleen? Kaivasin syvemmälle saadaksesi selville.
Teoriasta käytäntöön
Joten ovatko USB-pohjaiset hyökkäykset mobiililaitteita vastaan puhtaasti teoreettisia? Vastaus on yksiselitteinen ei.
Turvallisuustutkijat ovat pitkään pitäneet latausasemia mahdollisena hyökkäysvektorina. Vuonna 2011 veteraani infosec-toimittaja, Brian Krebs, jopa keksi termin "mehutakkia" kuvaamaan hyödyntämistä, jotka hyödyntävät sitä. Kun mobiililaitteet ovat siirtyneet kohti joukkomuuntoa, monet tutkijat ovat keskittyneet tähän yhteen puoleen.
Vuonna 2011 Defcon-turvakonferenssin eräs tapahtuma, Wall of Sheep, otti käyttöön latauskopit, jotka käytettäessä loivat laitteelle ponnahdusikkunan, joka varoitti epäluotettaviin laitteisiin kytkemisen vaaroista.
Kaksi vuotta myöhemmin, Blackhat USA -tapahtumassa, Georgia Techin tutkijat esittivät työkalun joka voi naamioida latausasemaksi ja asentaa haittaohjelman laitteeseen, joka käyttää tuolloin uusinta iOS-versiota.
Voisin jatkaa, mutta saat idean. Asiaankuuluvin kysymys on, löytyykö ” Juice Jacking ” on tullut reaalimaailman hyökkäyksiksi. Täällä asiat muuttuvat hieman hämäriksi.
Riskin ymmärtäminen
Huolimatta siitä, että "mehun tunkeutuminen" on suosittu turvallisuusalan tutkijoiden painopistealue, on tuskin dokumentoituja esimerkkejä hyökkääjistä, jotka aseistavat lähestymistavan. Suurin osa tiedotusvälineissä keskittyy instituutioiden, kuten yliopistojen ja tietoturvayritysten, palveluksessa olevien tutkijoiden käsitteisiin. Todennäköisesti tämä johtuu siitä, että julkisen latausaseman aseistaminen on luonnostaan vaikeaa.
Julkisen latausaseman hakkeroimiseksi hyökkääjän on hankittava erityinen laitteisto (kuten pienoistietokone haittaohjelmien asentamiseksi) ja asennettava se jäämättä kiinni. Yritä tehdä se vilkkaalla kansainvälisellä lentokentällä, jossa matkustajia tarkkaillaan tarkasti ja turvallisuus takavarikoi työkalut, kuten ruuvimeisselit, lähtöselvityksessä. Kustannukset ja riskit tekevät mehun tunkeutumisesta perusteettomasti sopivia suurelle yleisölle suunnattuihin hyökkäyksiin.
On myös väite, että nämä hyökkäykset ovat suhteellisen tehottomia. Ne voivat tartuttaa vain laitteet, jotka on kytketty latauspistorasiaan. Lisäksi he luottavat usein turva-aukkoihin, joita mobiilien käyttöjärjestelmien valmistajat, kuten Apple ja Google, korjaavat säännöllisesti.
Realistisesti, jos hakkeri häiritsee julkista latausasemaa, se on todennäköisesti osa kohdennettua hyökkäystä arvokasta henkilöä vastaan, ei työmatkalaista, joka tarvitsee napata muutaman akun prosenttiyksikön matkallaan töihin.
Turvallisuus ennen kaikkea
Tämän artikkelin tarkoituksena ei ole vähätellä mobiililaitteiden aiheuttamia turvallisuusriskejä. Älypuhelimet ovat joskus käytetään haittaohjelmien levittämiseen. On myös tapauksia, joissa puhelimet ovat saaneet tartunnan ollessaan yhteydessä tietokoneeseen, jossa on haittaohjelmia.
Vuoden 2016 Reuters-artikkelissa Mikko Hypponen, joka on tosiasiallisesti F-Securen julkinen kasvot, kuvasi erityisen tuhoisaa kantaa Android-haittaohjelmista se vaikutti eurooppalaiseen lentokonevalmistajaan.
"Hypponen kertoi puhuneensa äskettäin eurooppalaisen lentokoneiden valmistajan kanssa, jonka mukaan se puhdistaa viikoittain lentokoneidensa ohjaamot Android-puhelimille suunniteltuihin haittaohjelmiin. Haittaohjelma levisi koneisiin vain siksi, että tehtaan työntekijät lataivat puhelimia ohjaamon USB-portilla ”, artikkelissa todettiin.
”Koska koneessa on erilainen käyttöjärjestelmä, mikään ei tapahtuisi. Mutta se välittäisi viruksen muille laturiin kytketyille laitteille. "
Kotivakuutusta ei osteta siksi, että odotat talosi palavan, vaan siksi, että sinun on suunniteltava pahinta mahdollisuutta. Samoin sinun pitäisi noudata järkeviä varotoimia käyttäessäsi tietokoneiden latausasemia . Käytä aina kun mahdollista, tavallista seinäpistoketta USB-portin sijaan. Muussa tapauksessa harkitse kannettavan akun lataamista laitteen sijaan. Voit myös liittää kannettavan akun ja ladata puhelimen siitä latauksen aikana. Toisin sanoen vältä puhelimen liittämistä suoraan julkisiin USB-portteihin aina, kun se on mahdollista.
Vaikka dokumentoitua riskiä on vähän, on aina parempi olla turvassa kuin pahoillani. Vältä pääsääntöisesti tavaroiden liittämistä USB-portteihin, joihin et luota.
