I disse dager har flyplasser, hurtigmatrestauranter og til og med busser USB-ladestasjoner. Men er disse offentlige havnene trygge? Hvis du bruker en, kan telefonen eller nettbrettet bli hacket? Vi sjekket det ut!
Noen eksperter har slått alarm
Noen eksperter mener at du bør være bekymret hvis du har brukt en offentlig USB-ladestasjon. Tidligere i år har forskere fra IBMs elite-penetrasjonstestteam, X-Force Red, utstedte alvorlige advarsler om risikoen forbundet med offentlige ladestasjoner.
"Å koble til en offentlig USB-port er omtrent som å finne en tannbørste ved siden av veien og bestemme seg for å stikke den i munnen din," sa Caleb Barlow, visepresident for trusselinformasjon hos X-Force Red. "Du aner ikke hvor den tingen har vært."
Barlow påpeker at USB-porter ikke bare overfører strøm, de overfører også data mellom enheter.
Moderne enheter gir deg kontroll. Det er ikke meningen at de skal godta data fra en USB-port uten din tillatelse - det er derfor “Stol på denne datamaskinen?” spør finnes på iPhones. Imidlertid gir et sikkerhetshull en vei rundt denne beskyttelsen. Det stemmer ikke hvis du bare kobler en pålitelig strømstein til en standard elektrisk port. Med en offentlig USB-port er du imidlertid avhengig av en tilkobling som kan bære data.
Med litt teknologisk list er det mulig å bruke en USB-port og skyve skadelig programvare til en tilkoblet telefon. Dette gjelder spesielt hvis enheten kjører Android eller en eldre versjon av iOS, og derfor ligger bak sikkerhetsoppdateringene.
Alt høres skummelt ut, men er disse advarslene basert på bekymringer fra det virkelige liv? Jeg gravde dypere for å finne ut av det.
Fra teori til praksis
Så er USB-baserte angrep mot mobile enheter rent teoretiske? Svaret er et entydig nei.
Sikkerhetsforskere har lenge sett på ladestasjoner som en potensiell angrepsvektor. I 2011 kom veteraninfosec-journalisten, Brian Krebs, til og med myntet begrepet "juice jacking" for å beskrive utnyttelser som utnytter det. Ettersom mobile enheter har kommet mot masseadopsjon, har mange forskere fokusert på denne fasetten.
I 2011 distribuerte Wall of Sheep, en frynsevent på Defcon-sikkerhetskonferansen, ladestasjoner som, når de ble brukt, opprettet en popup på enheten som advarte om farene ved å koble til ikke-klarerte enheter.
To år senere, på Blackhat USA-arrangementet, forskere fra Georgia Tech demonstrerte et verktøy som kan maskere seg som en ladestasjon og installere skadelig programvare på en enhet som kjører den siste versjonen av iOS.
Jeg kunne fortsette, men du skjønner. Det mest aktuelle spørsmålet er om oppdagelsen av Juice Jacking ” har oversatt til virkelige angrep. Det er her ting blir litt grumsete.
Forstå risikoen
Til tross for at "juice jacking" er et populært fokusområde for sikkerhetsforskere, er det knapt noen dokumenterte eksempler på angripere som våpnet tilnærmingen. Mesteparten av mediedekningen fokuserer på konseptbevis fra forskere som jobber for institusjoner, som universiteter og informasjonssikkerhetsfirmaer. Mest sannsynlig er dette fordi det iboende er vanskelig å våpenføre en offentlig ladestasjon.
For å hacke en offentlig ladestasjon, må angriperen skaffe seg spesifikk maskinvare (for eksempel en miniatyrdatamaskin for å distribuere skadelig programvare) og installere den uten å bli fanget. Prøv å gjøre det på en travel internasjonal flyplass, hvor passasjerer er under intensiv kontroll, og sikkerhet konfiskerer verktøy, som skrutrekkere, ved innsjekking. Kostnadene og risikoen gjør at juiceuttak i utgangspunktet er lite egnet for angrep rettet mot allmennheten.
Det er også argumentet for at disse angrepene er relativt ineffektive. De kan bare infisere enheter som er koblet til en ladekontakt. Videre er de ofte avhengige av sikkerhetshull som produsenter av mobile operativsystemer, som Apple og Google, regelmessig lapper.
Realistisk, hvis en hacker tukler med en offentlig ladestasjon, er det sannsynligvis en del av et målrettet angrep mot en person med høy verdi, ikke en pendler som trenger å få noen få prosentpoeng på batteriet på vei til jobb.
Sikkerhet først
Det er ikke meningen med denne artikkelen å nedprioritere sikkerhetsrisikoen ved mobile enheter. Smarttelefoner er noen ganger brukt til å spre skadelig programvare. Det har også vært tilfeller av at telefoner ble smittet mens de var koblet til en datamaskin som har skadelig programvare.
I en Reuters-artikkel fra 2016 sa Mikko Hypponen, som faktisk er F-Secures offentlige ansikt, beskrev en spesielt skadelig belastning av Android-skadelig programvare som påvirket en europeisk flyprodusent.
“Hypponen sa at han nylig hadde snakket med en europeisk flyprodusent som sa at den renser cockpitene til flyene sine hver uke med skadelig programvare designet for Android-telefoner. Skadelig programvare spredte seg kun til flyene fordi fabrikkansatte ladet telefonene sine med USB-porten i cockpiten, ”heter det i artikkelen.
”Fordi flyet kjører et annet operativsystem, ville ingenting skje med det. Men det vil føre viruset til andre enheter som er koblet til laderen. "
Du kjøper boligforsikring ikke fordi du forventer at huset ditt brenner ned, men fordi du må planlegge det verste tilfellet. På samme måte bør du ta fornuftige forholdsregler når du bruker datamaskinladestasjoner . Når det er mulig, bruk et vanlig stikkontakt i stedet for en USB-port. Ellers bør du vurdere å lade et bærbart batteri i stedet for enheten. Du kan også koble til et bærbart batteri og lade telefonen fra det når det lades. Med andre ord, når det er mulig, unngå å koble telefonen direkte til offentlige USB-porter.
Selv om det er liten dokumentert risiko, er det alltid bedre å være trygg enn beklager. Unngå som regel å koble ting til USB-porter du ikke stoler på.
