מה זה "שקעים במיצים", ועלי להימנע ממטעי טלפון ציבוריים?

הטלפון החכם שלך זקוק לטעינה עדיין שוב ואתה נמצא קילומטרים מהמטען בבית; שקיוסק טעינה ציבורי נראה די מבטיח - פשוט חבר את הטלפון שלך וקבל את האנרגיה המתוקה, המתוקה, שאתה חושק בה. מה יכול להשתבש, נכון? הודות לתכונות נפוצות בעיצוב חומרה סלולרית ותוכנה, לא מעט דברים - המשך לקרוא כדי ללמוד עוד על חטיף מיץ וכיצד להימנע מכך.

מה זה בדיוק מציצה של מיצים?

ללא קשר לסוג הטלפון החכם המודרני שיש לך - בין אם זה מכשיר אנדרואיד, אייפון או בלקברי - יש תכונה אחת נפוצה בכל הטלפונים: ספק הכוח וזרם הנתונים עוברים על אותו כבל. בין אם אתה משתמש בחיבור ה- USB המינימלי הרגיל של USB או בכבלים הקנייניים של אפל, זה אותו המצב: הכבל המשמש לטעינה של הסוללה בטלפון שלך הוא אותו הכבל שבו אתה משתמש להעברת וסנכרון הנתונים שלך.

התקנה זו, נתונים / חשמל באותו הכבל, מציעה וקטור גישה למשתמש זדוני כדי לקבל גישה לטלפון במהלך תהליך הטעינה; ניצול כבל הנתונים / כבל החשמל לגישה לא חוקית לנתוני הטלפון ו / או הזרקת קוד זדוני למכשיר מכונה Juice Jacking.

ההתקפה יכולה להיות פשוטה כמו פגיעה בפרטיות, שבה הטלפונים שלך מתאחדים עם מחשב מוסתר בתוך קיוסק הטעינה ומידע כמו תמונות פרטיות ופרטי קשר מועבר למכשיר הזדוני. ההתקפה עלולה להיות פולשנית כמו הזרקת קוד זדוני ישירות למכשיר שלך. בכנס האבטחה של BlackHat השנה מציגים חוקרי האבטחה בילי לאו, יאונג ג'ין ג'אנג וצ'נגיו סונג "MACTANS: הזרקת תוכנות זדוניות למכשירי iOS באמצעות מטענים זדוניים", והנה קטע מתוך מופשט מצגת :

במצגת זו אנו מדגימים כיצד ניתן להתפשר על מכשיר iOS תוך דקה אחת מחיבורו למטען זדוני. ראשית אנו בוחנים את מנגנוני האבטחה הקיימים של אפל כדי להגן מפני התקנת תוכנה שרירותית, ואז מתארים כיצד ניתן למנף יכולות USB כדי לעקוף את מנגנוני ההגנה הללו. כדי להבטיח התמדה של הזיהום שנוצר, אנו מראים כיצד תוקף יכול להסתיר את התוכנה שלהם באותו אופן שמסתירה אפל יישומים מובנים משלה.

כדי להדגים יישום מעשי של נקודות תורפה אלה, בנינו הוכחה למטען זדוני למושג, שנקרא Mactans, באמצעות BeagleBoard. חומרה זו נבחרה כדי להדגים את הקלות בה ניתן לבנות מטענים USB זדוניים למראה. בעוד Mactans נבנה עם זמן מוגבל ותקציב קטן, אנו גם שוקלים בקצרה מה יכול יותר להשיג יריבים ממונעים, הממומנים היטב.

באמצעות חומרה זולה מהמדף ופגיעות אבטחה בולטת, הם הצליחו לקבל גישה למכשירי iOS מהדור הנוכחי בפחות מדקה, למרות אמצעי האבטחה הרבים שהקימה אפל כדי להימנע במיוחד מסוג זה.

סוג זה של ניצול הוא כמעט לא מהפך חדש על מכ"ם האבטחה. לפני שנתיים בוועידת האבטחה של DEF CON 2011, חוקרים מאיירס ביטחון, בריאן מרקוס, ג'וזף מלודז'יאנובסקי ורוברט רולי, בנו קיוסק טעינה כדי להדגים באופן ספציפי את הסכנות בג'אפ מיץ ולהתריע בפני הציבור עד כמה הטלפונים שלהם היו פגיעים כשהיו מחובר לקיוסק - התמונה שלמעלה הוצגה למשתמשים לאחר שהם נכנסו לקיוסק הזדוני. אפילו מכשירים שהונחו שלא להתאים או לשתף נתונים עדיין נפגעו לעתים קרובות דרך קיוסק האבטחה של איירס.

מטריד עוד יותר הוא שחשיפה לקיוסק זדוני עלולה ליצור בעיית אבטחה מתמשכת גם ללא הזרקה מיידית של קוד זדוני. ב מאמר שפורסם לאחרונה בנושא חוקר האבטחה, ג'ונתן זדיארסקי, מדגיש כיצד הפגיעות של זיווג iOS נמשכת ויכולה להציע למשתמשים זדוניים חלון למכשיר שלך גם אחרי שאתה כבר לא בקשר עם הקיוסק:

אם אינך מכיר את אופן הפעולה של ההתאמה ב- iPhone או ב- iPad שלך, זהו המנגנון שבאמצעותו שולחן העבודה שלך יוצר קשר מהימן עם המכשיר שלך כך ש- iTunes, Xcode או כלים אחרים יוכלו לדבר איתו. לאחר זיווג של מכונה שולחנית, היא יכולה לגשת למגוון מידע אישי במכשיר, כולל פנקס הכתובות שלך, הערות, תמונות, אוסף מוסיקה, מסד נתונים של SMS, הקלדת מטמון ואף יכול ליזום גיבוי מלא של הטלפון. לאחר זיווג של מכשיר, ניתן לגשת אל כל זה ויותר באופן אלחוטי בכל עת, ללא קשר אם הפעלת את סנכרון ה- WiFi. ההתאמה נמשכת לכל אורך חיי מערכת הקבצים: כלומר ברגע שהאייפון או האייפד שלך מותאמים למכונה אחרת, יחסי ההתאמה הללו נמשכים עד להחזרת הטלפון למצב היצרן.

מנגנון זה, שנועד להפוך את השימוש במכשיר ה- iOS שלך ללא כאב ומהנה, יכול למעשה ליצור מצב כואב למדי: הקיוסק שעליו רק טענת את ה- iPhone שלך ​​יכול, תיאורטית, לשמור על חבל טבור אלחוטי למכשיר ה- iOS שלך להמשך גישה גם לאחר ניתקת את החשמל מהטלפון שלך ונפלת לכיסא נמל תעופה סמוך כדי לנגן סיבוב (או ארבעים) של Angry Birds.

עד כמה עלי להיות מודאג?

אנחנו הכל חוץ מבהילים כאן ב- How-To Geek, ואנחנו תמיד נותנים לך את זה ישר: נכון לעכשיו, שקעים במיץ הם איום תיאורטי במידה רבה, והסיכוי שיציאות טעינת ה- USB בקיוסק בשדה התעופה המקומי שלך הן למעשה סוד. החזית למחזור נתונים ומחשב הזרקת תוכנות זדוניות נמוכים מאוד. זה לא אומר, עם זאת, שעליך פשוט למשוך את כתפיך ולשכוח מיד מהסיכון הביטחוני האמיתי ביותר הטמון בחיבור הטלפון החכם או הטאבלט למכשיר לא ידוע.

לפני מספר שנים, כאשר סיומת Firefox כבש אש היה השיחה של העיר בחוגי אבטחה, זה היה בדיוק האיום התיאורטי, אך עדיין האמיתי ביותר של הרחבת דפדפן פשוטה המאפשרת למשתמשים לחטוף את הפעלות המשתמשים בשירות האינטרנט של משתמשים אחרים בצומת ה- Wi-Fi המקומי שהובילה משמעותית. שינויים. משתמשי הקצה החלו להתייחס ברצינות רבה יותר לאבטחת הפעלת הגלישה שלהם (תוך שימוש בטכניקות כמו מנהור דרך חיבורי האינטרנט הביתיים שלהם אוֹ התחברות לרשת VPN ) וחברות אינטרנט גדולות ביצעו שינויי אבטחה גדולים (כמו הצפנת כל מושב הדפדפן ולא רק הכניסה).

בדיוק באופן זה, הפיכת המשתמשים למודעים לאיום של שפיכת מיץ, מקטינה את הסיכוי שאנשים יזוזו למיץ ומגבירה את הלחץ על חברות לנהל טוב יותר את נוהלי האבטחה שלהם (זה נהדר, למשל, שמכשיר ה- iOS שלך מתייחד כל כך בקלות הופך את חוויית המשתמש שלך לחלקה, אך ההשלכות של זיווג לכל החיים עם אמון של 100% במכשיר המותאם הן רציניות למדי).

איך אני יכול להימנע מעיסת מיצים?

אף על פי שפריקת מיץ אינה מהווה איום נרחב כמו גניבת טלפון מוחלטת או חשיפה לווירוסים זדוניים באמצעות הורדות שנפגעו, עדיין עליכם לנקוט באמצעי זהירות בשכל הישר כדי להימנע מחשיפה למערכות העלולות לגשת בזדון למכשירים האישיים שלכם. תמונה באדיבות Exogear .

אמצעי הזהירות הברורים ביותר מתמקדים בפשטות ובכך מיותר לטעון את הטלפון שלך באמצעות מערכת צד ג ':

שמור על כיבוי מכשירים שלך: האמצעי הברור ביותר הוא לשמור על טעינת המכשיר הנייד שלך. הרגלו לטעון את הטלפון בבית ובמשרד כשאתם לא משתמשים בו באופן פעיל או יושבים ליד שולחן העבודה שלכם. כמה שפחות פעמים אתה מוצא את עצמך בוהה בסרגל סוללה אדום של 3% כשאתה נוסע או מחוץ לבית, כן ייטב.

נשא מטען אישי: מטענים הפכו כל כך קטנים וקלילים שהם בקושי שוקלים יותר מכבל ה- USB האמיתי אליו הם מתחברים. זרוק מטען לתיק שלך, כך שתוכל לטעון את הטלפון שלך ולשמור על שליטה ביציאת הנתונים.

נשא סוללת גיבוי: בין אם תבחר לשאת סוללה רזרבית מלאה (למכשירים המאפשרים לך להחליף את הסוללה פיזית) או סוללת מילואים חיצונית (כמו האחת הזעירה הזו 2600mAh ), אתה יכול להתארך יותר מבלי שתצטרך לקשור את הטלפון שלך לקיוסק או לשקע בקיר.

בנוסף להבטחת הטלפון שלך שמירה על סוללה מלאה, ישנן טכניקות תוכנה נוספות בהן אתה יכול להשתמש (אם כי, כפי שאתה יכול לדמיין, אלה פחות אידאליים ולא מובטחים לעבוד בהתחשב במרוץ החימוש המתפתח כל הזמן של מעללי אבטחה). ככאלה, איננו יכולים לתמוך באמת באף אחת מהטכניקות הללו כיעילות באמת, אך הן בהחלט יעילות יותר מאשר לעשות דבר.

נעל את הטלפון שלך: כאשר הטלפון שלך נעול, באמת נעול ולא נגיש ללא הזנת קוד PIN או קוד סיסמא שווה ערך, הטלפון שלך לא אמור להתאים למכשיר שאליו הוא מחובר. מכשירי iOS יתאימו רק כאשר הם לא נעולים - אך שוב, כפי שהדגשנו קודם, ההתאמה מתבצעת תוך שניות, כך שעדיף שתוודא שהטלפון באמת נעול.

כבה את הטלפון: טכניקה זו פועלת רק על פי דגם טלפון על פי דגם טלפון מכיוון שחלק מהטלפונים, למרות היותם מופעלים, עדיין יפעלו במעגל ה- USB כולו ויאפשרו גישה לאחסון הפלאש בהתקן.

השבת התאמה (התקני iOS שנכלאו בלבד): ג'ונתן זדזיארסקי, שהוזכר מוקדם יותר במאמר, שחרר אפליקציה קטנה למכשירי iOS שנשברו לכלא המאפשרת למשתמש הקצה לשלוט בהתנהגות ההתאמה של המכשיר. אתה יכול למצוא את היישום שלו, PairLock, בחנות Cydia ו- כאן .

טכניקה אחרונה שבה אתה יכול להשתמש, שהיא יעילה אך לא נוחה, היא להשתמש בכבל USB כאשר חוטי הנתונים מוסרים או קצרים. נמכר ככבלים "חשמליים בלבד", חסרים בכבלים אלה את שני החוטים הדרושים להעברת נתונים ונותרו רק שני החוטים להעברת חשמל. אחד החסרונות של שימוש בכבל כזה, לעומת זאת, הוא שהמכשיר שלך בדרך כלל נטען לאט יותר שכן מטענים מודרניים משתמשים בערוצי הנתונים כדי לתקשר עם המכשיר ולהגדיר סף העברה מקסימלי מתאים (ללא תקשורת זו, המטען יוגדר כברירת מחדל ל הסף הבטוח הנמוך ביותר).

---

בסופו של דבר, ההגנה הטובה ביותר מפני מכשיר סלולרי נפגע היא מודעות. שמור על טעינת המכשיר שלך, הפעל את תכונות האבטחה שמספקת מערכת ההפעלה (בידיעה שהן אינן חסינות בפני שוטים וכל מערכת אבטחה ניתנת לניצול), והימנע מחיבור הטלפון לתחנות טעינה ומחשבים לא ידועים באותה צורה בה אתה נמנע בחוכמה מפתיחת קבצים מצורפים. משולחים לא ידועים.