스마트 폰을 재충전해야합니다 아직 다시 가정의 충전기에서 몇 마일 떨어져 있습니다. 공공 충전 키오스크가 매우 유망 해 보입니다. 휴대 전화를 연결하고 원하는 달콤하고 달콤한 에너지를 얻으십시오. 무엇이 잘못 될 수 있습니까? 휴대폰 하드웨어 및 소프트웨어 디자인의 공통된 특성 덕분에 주스 재킹과이를 방지하는 방법에 대해 자세히 알아 보려면 계속 읽어보십시오.
주스 잭킹은 정확히 무엇입니까?
현재 가지고있는 스마트 폰의 종류 (Android 장치, iPhone 또는 BlackBerry)에 관계없이 모든 전화에 공통된 기능이 하나 있습니다. 전원 공급 장치와 데이터 스트림이 동일한 케이블을 통해 전달됩니다. 현재 표준 USB miniB 연결을 사용하든 Apple의 독점 케이블을 사용하든 동일한 상황입니다. 휴대 전화의 배터리를 충전하는 데 사용되는 케이블은 데이터를 전송하고 동기화하는 데 사용하는 것과 동일한 케이블입니다.
이 설정 (동일한 케이블의 데이터 / 전원)은 악의적 인 사용자가 충전 프로세스 중에 휴대폰에 액세스 할 수있는 접근 벡터를 제공합니다. USB 데이터 / 전원 케이블을 활용하여 휴대 전화의 데이터에 불법적으로 액세스하거나 기기에 악성 코드를 삽입하는 것을 Juice Jacking이라고합니다.
이 공격은 사생활 침해처럼 간단 할 수 있습니다. 휴대 전화가 충전 키오스크 내에 숨겨진 컴퓨터와 페어링되고 개인 사진 및 연락처 정보와 같은 정보가 악성 장치로 전송됩니다. 공격은 악성 코드를 장치에 직접 주입하는 것만큼이나 침습적 일 수도 있습니다. 올해의 BlackHat 보안 컨퍼런스에서 보안 연구원 Billy Lau, 장영진, 그리고 Chengyu Song은“MACTANS : 악성 충전기를 통해 iOS 기기에 악성 코드 주입”을 발표했습니다. 발표 요약 :
이 프레젠테이션에서는 iOS 기기가 악성 충전기에 연결되고 1 분 이내에 어떻게 손상 될 수 있는지 보여줍니다. 먼저 임의의 소프트웨어 설치로부터 보호하기 위해 Apple의 기존 보안 메커니즘을 검토 한 다음 USB 기능을 활용하여 이러한 방어 메커니즘을 우회하는 방법을 설명합니다. 결과 감염의 지속성을 보장하기 위해 Apple이 자체 내장 응용 프로그램을 숨기는 것과 같은 방식으로 공격자가 소프트웨어를 숨길 수있는 방법을 보여줍니다.
이러한 취약성의 실제 적용을 입증하기 위해 BeagleBoard를 사용하여 Mactans라는 개념 증명 악성 충전기를 구축했습니다. 이 하드웨어는 무고 해 보이는 악성 USB 충전기를 쉽게 구성 할 수 있음을 보여주기 위해 선택되었습니다. 막탄은 제한된 시간과 적은 예산으로 만들어졌지만, 우리는 또한 더 많은 동기를 부여하고 자금을 잘 갖춘 적들이 무엇을 성취 할 수 있는지 간략하게 고려합니다.
값싼 기성품 하드웨어와 눈에 띄는 보안 취약성을 사용하여 Apple이 특별히 이러한 종류의 것을 피하기 위해 마련한 수많은 보안 예방 조치에도 불구하고 1 분 이내에 최신 iOS 기기에 액세스 할 수있었습니다.
그러나 이러한 종류의 익스플로잇은 보안 레이더에서 새로운 일이 아닙니다. 2 년 전 2011 년 DEF CON 보안 컨퍼런스에서 Aires Security, Brian Markus, Joseph Mlodzianowski 및 Robert Rowley의 연구원들은 충전 키오스크를 구축하여 주스 재킹의 위험성을 구체적으로 설명하고 대중에게 휴대폰이 언제 얼마나 취약했는지 알립니다. 키오스크에 연결됨-위의 이미지는 사용자가 악성 키오스크에 들어간 후 표시되었습니다. 데이터를 페어링하거나 공유하지 않도록 지시받은 장치조차도 Aires Security 키오스크를 통해 자주 손상되었습니다.
더욱 문제가되는 것은 악의적 인 키오스크에 노출되면 악성 코드를 즉시 삽입하지 않아도 보안 문제가 계속 될 수 있다는 것입니다. 에 주제에 대한 최근 기사 , 보안 연구원 인 Jonathan Zdziarski는 iOS 페어링 취약성이 어떻게 지속되고 더 이상 키오스크와 접촉하지 않아도 악의적 인 사용자에게 기기에 대한 창을 제공 할 수있는 방법을 강조합니다.
iPhone 또는 iPad에서 페어링이 작동하는 방식에 익숙하지 않은 경우 이것은 iTunes, Xcode 또는 기타 도구가 통신 할 수 있도록 데스크탑이 기기와 신뢰할 수있는 관계를 설정하는 메커니즘입니다. 데스크톱 컴퓨터가 페어링되면 주소록, 메모, 사진, 음악 컬렉션, SMS 데이터베이스, 타이핑 캐시를 포함하여 장치의 호스트 개인 정보에 액세스 할 수 있으며 전화의 전체 백업을 시작할 수도 있습니다. 장치가 페어링되면 WiFi 동기화가 켜져 있는지 여부에 관계없이 언제든지 무선으로이 모든 것에 액세스 할 수 있습니다. 페어링은 파일 시스템의 수명 동안 지속됩니다. 즉, iPhone 또는 iPad가 다른 컴퓨터와 페어링되면 해당 페어링 관계는 전화기를 공장 출하 상태로 복원 할 때까지 지속됩니다.
iOS 기기를 쉽고 즐겁게 사용하기위한이 메커니즘은 실제로 다소 고통스러운 상태를 만들 수 있습니다. 방금 iPhone을 충전 한 키오스크는 이론적으로 iOS 기기에 Wi-Fi 탯줄을 유지하여 이후에도 계속 액세스 할 수 있습니다. 휴대 전화를 뽑고 근처 공항 라운지 의자에 앉아 앵그리 버드 라운드 (또는 40 개)를 플레이했습니다.
얼마나 걱정해야합니까?
우리는 How-To Geek에서 놀랍지 않은 사람이며 항상 여러분에게 곧바로 알려드립니다. 현재 주스 재킹은 이론적으로 큰 위협이며 현지 공항의 키오스크에있는 USB 충전 포트가 실제로 비밀 일 가능성이 있습니다. 데이터 사이펀 및 악성 코드 주입 컴퓨터의 앞면은 매우 낮습니다. 그렇다고해서 어깨를 으쓱하고 스마트 폰이나 태블릿을 알 수없는 기기에 꽂으면 발생하는 실제 보안 위험을 즉시 잊어야한다는 의미는 아닙니다.
몇 년 전 Firefox 확장 기능이 Firesheep 보안 계에서이 도시의 화제가되었고, 이는 거의 이론적이지만 여전히 사용자가 로컬 Wi-Fi 노드에서 다른 사용자의 웹 서비스 사용자 세션을 가로 챌 수있는 간단한 브라우저 확장의 매우 실제적인 위협이었습니다. 변화. 최종 사용자는 브라우징 세션 보안을 더 심각하게 받아들이 기 시작했습니다 (예 : 홈 인터넷 연결을 통해 터널링 또는 VPN에 연결 ) 및 주요 인터넷 회사는 주요 보안 변경 (예 : 로그인뿐 아니라 전체 브라우저 세션 암호화)을 수행했습니다.
정확하게 이러한 방식으로 사용자에게 주스 잭킹의 위협을 인식하게하면 사람들이 주스 잭킹을 당할 가능성이 줄어들고 회사가 보안 관행을 더 잘 관리해야한다는 압력이 증가합니다 (예를 들어 iOS 장치가 너무 쉽게 페어링되고 사용자 경험을 원활하게하지만 페어링 된 장치에 대한 100 % 신뢰와 평생 페어링의 의미는 매우 심각합니다.)
주스 잭킹을 방지하려면 어떻게해야합니까?
주스 재킹은 전화 도난이나 손상된 다운로드를 통한 악성 바이러스 노출만큼 널리 퍼져 있지는 않지만 개인 기기에 악의적으로 액세스 할 수있는 시스템에 노출되지 않도록 상식적인 예방 조치를 취해야합니다. 이미지 제공 : 엑소 기어 .
가장 명백한 예방 조치는 타사 시스템을 사용하여 휴대폰을 충전 할 필요가 없도록하는 것입니다.
장치를 안전하게 유지 : 가장 확실한 예방 조치는 모바일 장치를 충전 상태로 유지하는 것입니다. 휴대 전화를 적극적으로 사용하지 않거나 책상에 앉아 업무를 수행하지 않을 때는 집과 사무실에서 휴대 전화를 충전하는 습관을들이세요. 여행 중이거나 집을 비울 때 빨간색 3 % 배터리 막대를 응시하는 횟수가 적을수록 좋습니다.
개인용 충전기 휴대 : 충전기는 너무 작고 가벼워서 실제 USB 케이블에 연결하는 것보다 무게가 거의 나가지 않습니다. 가방에 충전기를 넣어 휴대 전화를 충전하고 데이터 포트를 계속 제어 할 수 있습니다.
백업 배터리 휴대 : 전체 예비 배터리 (배터리를 물리적으로 교체 할 수있는 장치의 경우) 또는 외부 예비 배터리 (예 : 이 작은 2600mAh 하나 ), 키오스크 나 벽면 콘센트에 휴대폰을 연결하지 않고도 더 오래 사용할 수 있습니다.
휴대 전화의 배터리가 완전히 유지되도록하는 것 외에도 사용할 수있는 추가 소프트웨어 기술이 있습니다. 따라서 이러한 기술 중 어떤 것도 진정으로 효과적이라고 보증 할 수는 없지만 아무것도하지 않는 것보다 확실히 더 효과적입니다.
전화기 잠금 : 휴대 전화가 잠겨 있고 실제로 잠겨 있으며 PIN 또는 이에 상응하는 암호를 입력하지 않고 액세스 할 수없는 경우 휴대 전화가 연결된 장치와 페어링되지 않아야합니다. iOS 기기는 잠금 해제 된 경우에만 페어링되지만 앞서 강조한 것처럼 몇 초 내에 페어링이 이루어 지므로 휴대 전화가 실제로 잠겨 있는지 확인하는 것이 좋습니다.
전화기 전원 끄기 : 이 기술은 일부 전화기가 전원이 꺼져 있어도 전체 USB 회로의 전원을 켜고 장치의 플래시 저장소에 대한 액세스를 허용하므로 전화기 모델별로 전화기 모델에서만 작동합니다.
페어링 비활성화 (탈옥 iOS 기기 만 해당) : 이 기사의 앞부분에서 언급 한 Jonathan Zdziarski는 최종 사용자가 장치의 페어링 동작을 제어 할 수있는 탈옥 된 iOS 장치 용 작은 애플리케이션을 출시했습니다. 그의 응용 프로그램 인 PairLock은 Cydia Store에서 찾을 수 있으며 여기 .
사용할 수있는 마지막 기술 중 하나는 효과적이지만 불편합니다. 데이터 와이어가 제거되거나 단락 된 상태에서 USB 케이블을 사용하는 것입니다. "전원 전용"케이블로 판매되는이 케이블에는 데이터 전송에 필요한 두 개의 와이어가없고 전력 전송을위한 두 개의 와이어 만 남아 있습니다. 그러나 이러한 케이블 사용의 단점 중 하나는 최신 충전기가 데이터 채널을 사용하여 장치와 통신하고 적절한 최대 전송 임계 값을 설정하기 때문에 장치가 일반적으로 더 느리게 충전된다는 것입니다 (이 통신이 없으면 충전기는 기본적으로 최저 안전 임계 값).
궁극적으로 손상된 모바일 장치에 대한 최선의 방어는 인식입니다. 장치를 충전 상태로 유지하고 운영 체제에서 제공하는 보안 기능을 활성화하고 (완벽하지 않으며 모든 보안 시스템이 악용 될 수 있음을 알고 있음), 첨부 파일을 여는 것과 같은 방식으로 휴대폰을 알 수없는 충전소와 컴퓨터에 연결하지 마십시오. 알 수없는 발신자로부터.
