У наші дні в аеропортах, ресторанах швидкого харчування та навіть автобусах є зарядні станції USB. Але чи безпечні ці громадські порти? Якщо ви використовуєте такий, чи може ваш телефон або планшет зламатися? Ми це перевірили!
Деякі експерти подали сигнал тривоги
Деякі експерти вважають, що ви повинні хвилюватися, якщо ви користувались загальнодоступною зарядною станцією USB. На початку цього року дослідники елітної групи тестування на проникнення IBM, X-Force Red, видав страшні попередження про ризики, пов'язані з громадськими зарядними станціями.
"Підключення до загальнодоступного порту USB начебто знайдеш зубну щітку на узбіччі дороги і вирішиш встромити її в рот", - сказав Калеб Барлоу, віце-президент з питань розвідки загроз у X-Force Red. "Ви не уявляєте, де ця річ була".
Барлоу зазначає, що порти USB не просто передають потужність, вони також передають дані між пристроями.
Сучасні пристрої керують вами. Вони не повинні приймати дані з порту USB без вашого дозволу - саме тому “Довіряти цьому комп’ютеру?” підказка існує на iPhone. Однак отвір у безпеці пропонує спосіб обійти цей захист. Це неправда, якщо ви просто підключите надійний цегляний блок живлення до стандартного електричного порту. Однак із загальнодоступним портом USB ви покладаєтесь на з’єднання, яке може нести дані.
За допомогою трохи технологічної хитрості можна озброїти USB-порт і перенести шкідливе програмне забезпечення на підключений телефон. Це особливо вірно, якщо на пристрої встановлено Android або старішу версію iOS, і тому він відстає від оновлень безпеки.
Все це звучить страшно, але чи засновані ці попередження на реальних проблемах? Я копнув глибше, щоб дізнатись.
Від теорії до практики
Отже, чи атаки на мобільні пристрої на основі USB є суто теоретичними? Відповідь - однозначне ні.
Дослідники безпеки давно розглядали зарядні станції як потенційний вектор атаки. У 2011 році навіть ветеран-журналіст, Брайан Кребс винайшов термін "відсмоктування соку" для опису подвигів, які цим скористаються. Оскільки мобільні пристрої наближаються до масового впровадження, багато дослідників зосередилися на цьому єдиному аспекті.
У 2011 році «Стіна овець», яка відбулася на конференції безпеки Defcon, розгорнула кабіни для зарядки, які при використанні створювали спливаюче вікно на пристрої, яке попереджало про небезпеку підключення до ненадійних пристроїв.
Через два роки, на заході Blackhat USA, дослідники з Georgia Tech продемонстрували інструмент який може маскуватися під зарядну станцію та встановлювати зловмисне програмне забезпечення на пристрій, на якому встановлена остання версія iOS.
Я міг би продовжити, але ти розумієш. Найактуальніше питання - чи відкриття “ Джак " перетворився на реальні атаки. Тут все стає трохи каламутним.
Розуміння ризику
Незважаючи на те, що «викрадення соку» є популярною сферою уваги дослідників безпеки, навряд чи є будь-які задокументовані приклади зловмисників, які застосовували цей підхід. Більша частина висвітлення у ЗМІ зосереджена на підтвердженні концепції дослідників, які працюють в таких установах, як університети та фірми, що займаються інформаційною безпекою. Швидше за все, це тому, що по суті важко озброїти державну зарядну станцію.
Щоб зламати загальнодоступну зарядну станцію, зловмисникові довелося б отримати конкретне обладнання (наприклад, мініатюрний комп'ютер для розгортання шкідливого програмного забезпечення) і встановити його, не потрапляючи. Спробуйте зробити це в жвавому міжнародному аеропорту, де пасажири перебувають під пильним контролем, а служба безпеки вилучає інструменти, такі як викрутки, під час реєстрації. Вартість і ризик роблять підйом соку принципово непридатним для атак, спрямованих на широку громадськість.
Існує також аргумент, що ці атаки відносно неефективні. Вони можуть заразити лише пристрої, підключені до розетки для зарядки. Крім того, вони часто покладаються на діри в безпеці, які регулярно виправляють виробники мобільних операційних систем, такі як Apple та Google.
Реально сказати, що якщо хакер підробляє громадську зарядну станцію, це, швидше за все, є частиною цілеспрямованої атаки на дорогоцінну особу, а не на пасажира, якому на шляху до роботи потрібно набрати кілька відсотків балів.
Безпека насамперед
Ця стаття не має на меті применшити ризики безпеки, викликані мобільними пристроями. Смартфони є іноді використовується для поширення шкідливих програм. Також були випадки зараження телефонів під час підключення до комп’ютера, який містить шкідливе програмне забезпечення.
У статті Reuters за 2016 рік Мікко Гіппонен, який фактично є публічним обличчям F-Secure, описав особливо згубний штам шкідливих програм Android що вплинуло на європейського виробника літаків.
«Гіппонен сказав, що нещодавно спілкувався з європейським виробником літаків, який заявив, що щотижня очищає кабіни літаків від шкідливих програм, розроблених для телефонів Android. Шкідливе програмне забезпечення поширилося на літаки лише тому, що працівники заводу заряджали свої телефони USB-портом в кабіні пілотів », - йдеться в статті.
“Оскільки літак працює з іншою операційною системою, його нічого не спіткає. Але він передавав би вірус іншим пристроям, підключеним до зарядного пристрою ".
Ви купуєте страховку для дому не тому, що очікуєте, що ваш будинок згорить, а тому, що вам доводиться планувати найгірший сценарій. Так само, ви повинні вживайте розумних запобіжних заходів, використовуючи комп'ютерні зарядні станції . По можливості використовуйте стандартну настінну розетку, а не USB-порт. В іншому випадку розгляньте можливість заряджання портативного акумулятора, а не пристрою. Ви також можете підключити портативну батарею та заряджати телефон від неї, коли вона заряджається. Іншими словами, по можливості уникайте підключення телефону безпосередньо до будь-яких загальнодоступних портів USB.
Незважаючи на те, що існує невеликий задокументований ризик, завжди краще бути в безпеці, ніж шкодувати. Як правило, уникайте підключення своїх речей до USB-портів, яким ви не довіряєте.
ПОВ'ЯЗАНІ: Як захиститися від загальнодоступних портів для зарядки через USB
