Manapság a repülőtereken, a gyorséttermekben és még a buszokban is van USB töltőállomás. De ezek az állami kikötők biztonságosak? Ha ilyet használ, feltörhetné telefonját vagy táblagépét? Megnéztük!
Néhány szakértő riasztott
Egyes szakértők szerint aggódnia kell, ha nyilvános USB töltőállomást használt. Ez év elején az IBM elit penetrációs tesztcsoportjának, az X-Force Rednek a kutatói szörnyű figyelmeztetéseket adott ki a nyilvános töltőállomásokkal kapcsolatos kockázatokról.
"A nyilvános USB-port csatlakoztatása olyan, mintha egy fogkefét találna az út szélén, és úgy döntene, hogy a szájába ragasztja" - mondta Caleb Barlow, az X-Force Red fenyegetéselhárítási alelnöke. - Fogalmad sincs, hol volt ez a dolog.
Barlow rámutat, hogy az USB-portok nem csupán energiát közvetítenek, hanem adatokat is továbbítanak az eszközök között.
A modern eszközök teszik lehetővé az irányítást. Állítólag nem fogadják el az adatokat USB-portról az Ön engedélye nélkül - ezért a - Bízik ebben a számítógépben? gyors létezik az iPhone készülékeken. A biztonsági lyuk azonban utat kínál ennek a védelemnek. Ez nem igaz, ha egyszerűen megbízható tápegységet csatlakoztat egy szabványos elektromos csatlakozóhoz. Nyilvános USB-port mellett azonban olyan kapcsolatra támaszkodik, amely képes adatokat továbbítani.
Egy kis technológiai ravaszsággal fegyverrel lehet USB portot szerezni, és rosszindulatú programokat lehet csatlakoztatni egy csatlakoztatott telefonra. Ez különösen igaz, ha az eszköz Androidot vagy az iOS régebbi verzióját futtatja, és ezért lemarad a biztonsági frissítésekről.
Mind félelmetesen hangzik, de vajon ezek a figyelmeztetések valós életen alapulnak-e? Mélyebbre ástam, hogy megtudjam.
Az elmélettől a gyakorlatig
Tehát az USB-alapú támadások pusztán elméleti jellegűek a mobil eszközök ellen A válasz egyértelmű nem.
A biztonsági kutatók már régóta potenciális támadó vektornak tekintik a töltőállomásokat. 2011-ben veterán infosec újságíró, Brian Krebs, még kitalálta a „juice jacking” kifejezést az azt kihasználó kihasználások leírására. Mivel a mobil eszközök a tömeges elfogadás felé tartanak, sok kutató erre az egy szempontra összpontosított.
2011-ben a Wall of Sheep, a Defcon biztonsági konferencián megrendezett esemény, töltőkamrákat telepített, amelyek használatakor előugró ablakot hoztak létre az eszközön, amely figyelmeztetett a nem megbízható eszközökbe történő bekapcsolás veszélyeire.
Két évvel később, a Blackhat USA rendezvényen, a Georgia Tech kutatói bemutattak egy eszközt amely töltőállomásnak álcázhatja magát, és rosszindulatú programokat telepíthet az iOS akkoriban legújabb verzióját futtató eszközre.
Folytathatnám, de megkapod az ötletet. A legrelevánsabb kérdés az, hogy vajon Juice Jacking ” valóságos támadásokká vált. Itt kissé zavarossá válnak a dolgok.
A kockázat megértése
Annak ellenére, hogy a „juice jacking” a biztonság kutatóinak népszerű fókuszterülete, alig vannak dokumentált példák arra, hogy a támadók fegyverkeznének a megközelítéssel. A médiában a tudósítások nagy része azoknak a kutatóknak az elgondolásaira összpontosít, akik olyan intézményeknél dolgoznak, mint az egyetemek és az információbiztonsági cégek. Valószínűleg ez azért van, mert eleve nehéz fegyveres fegyvereket csinálni egy nyilvános töltőállomásról.
Egy nyilvános töltőállomás feltöréséhez a támadónak speciális hardvert kell beszereznie (például egy kisméretű számítógépet a rosszindulatú programok telepítéséhez) és telepítenie kell anélkül, hogy elkapnák. Próbálkozzon ezzel egy forgalmas nemzetközi repülőtéren, ahol az utasokat intenzív ellenőrzés alatt tartják, és a biztonság bejelentkezéskor elkobozza az eszközöket, például a csavarhúzókat. A költség és a kockázat miatt a gyümölcslé-emelés alapvetően alkalmatlan a nagyközönség elleni támadásokra.
Az az érv is felmerül, hogy ezek a támadások viszonylag hatástalanok. Csak olyan eszközöket fertőzhetnek meg, amelyek egy töltőaljzathoz vannak csatlakoztatva. Továbbá gyakran támaszkodnak olyan biztonsági résekre, amelyeket a mobil operációs rendszerek gyártói, például az Apple és a Google rendszeresen javítanak.
Valójában, ha egy hacker megtámad egy nyilvános töltőállomást, akkor ez valószínűleg egy nagy értékű egyén elleni célzott támadás része, nem pedig egy ingázó, akinek a munkába menet néhány akkumulátor százalékos pontot kell elkapnia.
Első a biztonság
Ennek a cikknek nem célja a mobileszközök által jelentett biztonsági kockázatok kicsinyítése. Okostelefonok vannak néha rosszindulatú programok terjesztésére használják. Olyan esetek is előfordultak, amikor a telefonok fertőzöttek voltak, miközben rosszindulatú szoftvert tartalmazó számítógéphez csatlakoztak.
A Reuters 2016-os cikkében Mikko Hypponen, aki gyakorlatilag az F-Secure nyilvános arca, ismertette az Android rosszindulatú programjainak különösen káros törzsét ami egy európai repülőgépgyártót érintett.
„Hypponen elmondta, hogy nemrég beszélt egy európai repülőgépgyártóval, amely szerint minden héten megtisztítja repülőgépeinek pilótafülkéit az Android telefonokhoz tervezett rosszindulatú programoktól. A rosszindulatú program csak azért terjedt el a repülőgépeken, mert a gyári alkalmazottak a pilótafülkében lévő USB-porttal töltötték telefonjaikat ”- áll a cikkben.
„Mivel a gép más operációs rendszert működtet, semmi sem érné. De továbbterjesztené a vírust a töltőre csatlakoztatott más eszközökre.
A lakásbiztosítást nem azért veszi, mert arra számít, hogy a ház leég, hanem azért, mert a legrosszabb esetre kell terveznie. Hasonlóképpen kellene ésszerű óvintézkedéseket tegyen, ha számítógépes töltőállomásokat használ . Amikor csak lehetséges, használjon szabványos fali aljzatot, nem pedig USB-portot. Ellenkező esetben fontolja meg a hordozható akkumulátor töltését, nem pedig a készülékét. Csatlakoztathat egy hordozható akkumulátort is, és töltés közben töltheti belőle a telefont. Más szóval, amikor csak lehetséges, kerülje a telefon közvetlen csatlakoztatását bármely nyilvános USB-porthoz.
Annak ellenére, hogy kevés a dokumentált kockázat, mindig jobb biztonságban lenni, mint sajnálni. Általános szabály, hogy ne dugja a cuccait olyan USB-portokba, amelyekben nem bízik.
ÖSSZEFÜGGŐ: Hogyan védekezhetünk a nyilvános USB töltőportok ellen
