Bugünlerde havalimanlarında, fast-food restoranlarında ve hatta otobüslerde USB şarj istasyonları var. Ancak bu halka açık limanlar güvenli midir? Birini kullanırsanız, telefonunuz veya tabletiniz hacklenebilir mi? Kontrol ettik!
Bazı Uzmanlar Alarmı Çaldı
Bazı uzmanlar, halka açık bir USB şarj istasyonu kullanıyorsanız endişelenmeniz gerektiğini düşünüyor. Bu yılın başlarında, IBM’in seçkin sızma testi ekibi X-Force Red'den araştırmacılar, ciddi uyarılar yayınladı halka açık şarj istasyonlarıyla ilişkili riskler hakkında.
X-Force Red'de tehdit istihbaratı başkan yardımcısı Caleb Barlow, “Halka açık bir USB bağlantı noktasına takmak, yol kenarında bir diş fırçası bulup ağzınıza yapıştırmaya karar vermek gibi bir şey” dedi. O şeyin nerede olduğu hakkında hiçbir fikrin yok.
Barlow, USB bağlantı noktalarının yalnızca gücü iletmediğini, aynı zamanda cihazlar arasında veri de aktardığına dikkat çekiyor.
Modern cihazlar kontrolü size verir. Sizin izniniz olmadan bir USB bağlantı noktasından veri kabul etmemeleri gerekir - bu nedenle "Bu bilgisayara güven?" Komut istemi iPhone'larda var. Bununla birlikte, bir güvenlik açığı bu korumanın etrafından dolaşan bir yol sunar. Güvenilir bir güç tuğlasını standart bir elektrik bağlantı noktasına takarsanız bu doğru değildir. Herkese açık bir USB bağlantı noktasıyla, veri taşıyabilen bir bağlantıya güvenirsiniz.
Biraz teknolojik kurnazlıkla, bir USB bağlantı noktasını silah haline getirmek ve bağlı bir telefona kötü amaçlı yazılım göndermek mümkündür. Bu, özellikle cihaz Android veya iOS'un daha eski bir sürümünü çalıştırıyorsa ve bu nedenle güvenlik güncellemelerinde geride kalıyorsa geçerlidir.
Hepsi korkutucu gelebilir, ancak bu uyarılar gerçek hayattaki endişelere mi dayanıyor? Bulmak için daha derine indim.
Teoriden Pratiğe
Peki, mobil cihazlara yönelik USB tabanlı saldırılar tamamen teorik midir? Cevap kesin bir hayırdır.
Güvenlik araştırmacıları uzun süredir şarj istasyonlarını potansiyel bir saldırı vektörü olarak görüyorlar. 2011'de deneyimli bilgi güvenliği gazetecisi Brian Krebs, hatta "meyve suyu krikosu" terimini icat etti bundan yararlanan istismarları tanımlamak için. Mobil cihazlar kitlesel olarak benimsenmeye doğru ilerlediğinden, birçok araştırmacı bu tek yöne odaklandı.
2011 yılında, Defcon güvenlik konferansının önemli bir etkinliği olan Wall of Sheep, şarj kabinleri kurdu ve kullanıldığında, cihazda güvenilmeyen cihazlara fiş takmanın tehlikeleri konusunda uyarı veren bir açılır pencere oluşturdu.
İki yıl sonra Blackhat USA etkinliğinde, Georgia Tech'ten araştırmacılar bir araç gösterdi Bu, bir şarj istasyonu gibi görünebilir ve iOS'un o zamanki en son sürümünü çalıştıran bir cihaza kötü amaçlı yazılım yükleyebilir.
Devam edebilirim, ama sen anladın. En alakalı soru, " Juice Jacking " gerçek dünya saldırılarına dönüştü. İşlerin biraz bulanıklaştığı yer burası.
Riski Anlamak
Güvenlik araştırmacıları için popüler bir odak alanı olan “meyve suyu hırsızlığı” olmasına rağmen, yaklaşımı silahlandıran saldırganların neredeyse hiçbir belgelenmiş örneği yoktur. Medyada yer alan çoğu haber, üniversiteler ve bilgi güvenliği firmaları gibi kurumlar için çalışan araştırmacıların kavram kanıtlarına odaklanıyor. Büyük olasılıkla, bunun nedeni, halka açık bir şarj istasyonunu silahlandırmanın doğası gereği zor olmasıdır.
Halka açık bir şarj istasyonunu hacklemek için, saldırganın belirli bir donanımı (kötü amaçlı yazılımları dağıtmak için minyatür bir bilgisayar gibi) edinmesi ve yakalanmadan kurması gerekir. Bunu, yolcuların yoğun inceleme altında olduğu ve güvenliğin check-in sırasında tornavida gibi aletlere el koyduğu yoğun bir uluslararası havalimanında yapmayı deneyin. Maliyet ve risk, meyve suyu krikosunu temelde genel halkı hedef alan saldırılar için uygunsuz hale getirir.
Ayrıca bu saldırıların nispeten verimsiz olduğu argümanı da var. Yalnızca şarj prizine takılı cihazlara bulaşabilirler. Dahası, genellikle Apple ve Google gibi mobil işletim sistemi üreticilerinin düzenli olarak yamaladığı güvenlik açıklarına güvenirler.
Gerçekçi olarak, bir bilgisayar korsanı halka açık bir şarj istasyonunu kurcalarsa, işe giderken birkaç pil yüzdesi puanı alması gereken bir işe gidip gelme değil, yüksek değerli bir kişiye yönelik hedefli bir saldırının parçası olabilir.
Önce güvenlik
Bu makalenin amacı, mobil cihazların oluşturduğu güvenlik risklerini küçümsemek değildir. Akıllı telefonlar vardır bazen kötü amaçlı yazılım yaymak için kullanılır. Kötü amaçlı yazılımları barındıran bir bilgisayara bağlıyken virüs bulaşan telefon vakaları da olmuştur.
F-Secure'un etkili bir şekilde kamuya açık yüzü olan Mikko Hypponen, 2016 Reuters makalesinde, kötü amaçlı bir Android kötü amaçlı yazılım türünü tanımladı Avrupalı bir uçak üreticisini etkiledi.
“Hypponen, son zamanlarda Avrupalı bir uçak üreticisiyle konuştuğunu ve uçaklarının kokpitlerini Android telefonlar için tasarlanmış kötü amaçlı yazılımlardan her hafta temizlediğini söyledi. Kötü amaçlı yazılım uçaklara yayıldı, çünkü fabrika çalışanları telefonlarını kokpitteki USB bağlantı noktasıyla şarj ediyorlardı. "
“Uçak farklı bir işletim sistemi çalıştırdığı için, ona hiçbir şey olmaz. Ancak virüsü şarj cihazına takılan diğer cihazlara aktarır. "
Ev sigortası satın alırsınız çünkü evinizin yanmasını beklediğiniz için değil, en kötü senaryoyu planlamanız gerektiği için. Benzer şekilde, yapmalısınız bilgisayar şarj istasyonlarını kullanırken makul önlemler alın . Mümkün olduğunda, USB bağlantı noktası yerine standart bir duvar prizi kullanın. Aksi takdirde, cihazınız yerine taşınabilir bir pili şarj etmeyi düşünün. Ayrıca taşınabilir bir pil bağlayabilir ve telefonunuzu şarj olurken ondan şarj edebilirsiniz. Başka bir deyişle, mümkün olduğunda, telefonunuzu doğrudan herhangi bir genel USB bağlantı noktasına bağlamayın.
Belgelenmiş çok az risk olsa da, güvende olmak üzgün olmaktansa her zaman daha iyidir. Genel bir kural olarak, öğelerinizi güvenmediğiniz USB bağlantı noktalarına takmaktan kaçının.
İLİŞKİLİ: Kendinizi Halka Açık USB Şarj Bağlantı Noktalarından Nasıl Korursunuz?
