Dessa dagar har flygplatser, snabbmatsrestauranger och till och med bussar USB-laddningsstationer. Men är dessa offentliga hamnar säkra? Om du använder en, kan din telefon eller surfplatta hackas? Vi kollade ut det!
Vissa experter har larmat
Vissa experter tycker att du bör vara orolig om du har använt en offentlig USB-laddstation. Tidigare i år har forskare från IBM: s elitpenetrationsteam, X-Force Red, utfärdade allvarliga varningar om riskerna med offentliga laddstationer.
"Att ansluta till en offentlig USB-port är ungefär som att hitta en tandborste vid sidan av vägen och besluta att sticka den i munnen", säger Caleb Barlow, vice president för hotinformation på X-Force Red. "Du har ingen aning om var den saken har varit."
Barlow påpekar att USB-portar inte bara överför kraft utan de överför också data mellan enheter.
Moderna enheter ger dig kontroll. De ska inte acceptera data från en USB-port utan ditt tillstånd - det är därför som "Lita på den här datorn?" prompt finns på iPhones. Ett säkerhetshål erbjuder dock en väg runt detta skydd. Det stämmer inte om du helt enkelt ansluter en pålitlig kraftsten till en vanlig elektrisk port. Med en offentlig USB-port förlitar du dig dock på en anslutning som kan bära data.
Med lite tekniskt list är det möjligt att använda en USB-port och skicka skadlig programvara till en ansluten telefon. Detta gäller särskilt om enheten kör Android eller en äldre version av iOS och därför ligger bakom sina säkerhetsuppdateringar.
Allt låter skrämmande, men är dessa varningar baserade på verkliga problem? Jag grävde djupare för att ta reda på det.
Från teori till övning
Så är USB-baserade attacker mot mobila enheter rent teoretiska? Svaret är ett entydigt nej.
Säkerhetsforskare har länge betraktat laddstationer som en potentiell attackvektor. År 2011 veteraninfosec-journalisten, Brian Krebs, till och med myntade termen "juice jacking" att beskriva exploater som utnyttjar det. Eftersom mobila enheter har ökat mot massintagande har många forskare fokuserat på den här aspekten.
Under 2011 lanserade Wall of Sheep, ett utkantshändelse vid Defcon-säkerhetskonferensen, laddningsbås som, när de användes, skapade ett popup-fönster på enheten som varnade för farorna med att ansluta till otillförlitliga enheter.
Två år senare, vid Blackhat USA-evenemanget, forskare från Georgia Tech demonstrerade ett verktyg som kan maskeras som en laddningsstation och installera skadlig kod på en enhet som kör den senaste versionen av iOS.
Jag kan fortsätta, men du får idén. Den mest relevanta frågan är om upptäckten av ” Juice Jacking ” har översatts till verkliga attacker. Det är här saker och ting blir lite grumliga.
Förstå risken
Trots att ”juice jacking” är ett populärt fokusområde för säkerhetsforskare, finns det knappast några dokumenterade exempel på angripare som vapeniserar tillvägagångssättet. Det mesta av mediatäckningen fokuserar på bevis på begrepp från forskare som arbetar för institutioner, som universitet och informationssäkerhetsföretag. Troligtvis beror det på att det till sin natur är svårt att beväpna en offentlig laddstation.
För att hacka en offentlig laddningsstation skulle angriparen behöva skaffa specifik hårdvara (som en miniatyrdator för att distribuera skadlig kod) och installera den utan att fastna. Försök att göra det på en upptagen internationell flygplats, där passagerare är under intensiv granskning och säkerhet konfiskerar verktyg, som skruvmejslar, vid incheckningen. Kostnaden och risken gör att juicejackning i grunden är olämplig för attacker riktade till allmänheten.
Det finns också argumentet att dessa attacker är relativt ineffektiva. De kan bara infektera enheter som är anslutna till ett laddningsuttag. Dessutom är de ofta beroende av säkerhetshål som tillverkare av mobiloperativsystem, som Apple och Google, regelbundet lappar.
Realistiskt sett, om en hacker tränger med en offentlig laddstation, är det troligtvis en del av en riktad attack mot en högvärdig person, inte en pendlare som behöver ta några batteriprocentenheter på väg till jobbet.
Säkerheten först
Det är inte avsikten med denna artikel att bagatellisera de säkerhetsrisker som mobila enheter medför. Smartphones är används ibland för att sprida skadlig kod. Det har också förekommit fall att telefoner har smittats när de var anslutna till en dator som innehåller skadlig programvara.
I en Reuters-artikel 2016 berättar Mikko Hypponen, som faktiskt är F-Secures offentliga ansikte, beskrev en särskilt skadlig stam av Android-skadlig kod som påverkade en europeisk flygplanstillverkare.
”Hypponen sa att han nyligen hade pratat med en europeisk flygplanstillverkare som sa att den rengör cockpit i sina flygplan varje vecka av skadlig programvara avsedd för Android-telefoner. Skadlig kod sprids till flygplanen bara för att fabriksanställda laddade sina telefoner med USB-porten i sittbrunnen, ”anges i artikeln.
”Eftersom planet kör ett annat operativsystem skulle inget hända det. Men det skulle vidarebefordra viruset till andra enheter som är anslutna till laddaren. ”
Du köper hemförsäkring inte för att du förväntar dig att ditt hus ska brinna, utan för att du måste planera för det värsta fallet. På samma sätt borde du vidta förnuftiga försiktighetsåtgärder när du använder datorns laddningsstationer . Använd när det är möjligt ett vanligt vägguttag, snarare än en USB-port. Annars kan du överväga att ladda ett bärbart batteri snarare än din enhet. Du kan också ansluta ett bärbart batteri och ladda din telefon från det när det laddas. Med andra ord, när det är möjligt, undvik att ansluta din telefon direkt till offentliga USB-portar.
Även om det finns liten dokumenterad risk är det alltid bättre att vara säker än ledsen. Undvik som regel att ansluta dina saker till USB-portar som du inte litar på.
RELATERAD: Hur du skyddar dig mot offentliga USB-laddningsportar
