В наши дни летищата, ресторантите за бързо хранене и дори автобусите имат USB зарядни станции. Но дали тези публични пристанища са безопасни? Ако използвате такъв, може ли телефонът или таблетът ви да бъдат хакнати? Проверихме го!
Съдържание
Някои експерти са алармирали
Някои експерти смятат, че трябва да се притеснявате, ако сте използвали обществена USB станция за зареждане. По-рано тази година изследователи от елитния екип за тестване на проникване на IBM, X-Force Red, отправя страшни предупреждения относно рисковете, свързани с обществените зарядни станции.
„Включването в публичен USB порт е нещо като да намерите четка за зъби отстрани на пътя и да решите да я залепите в устата си“, каза Кейлъб Барлоу, вицепрезидент по разузнаване на заплахи в X-Force Red. — Нямаш представа къде е било това нещо.
Барлоу посочва, че USB портовете не само предават захранване, но и прехвърлят данни между устройства.
Съвременните устройства ви дават контрол. Те не трябва да приемат данни от USB порт без ваше разрешение – ето защо „Доверие на този компютър?“ подкана съществува на iPhone. Въпреки това дупката в сигурността предлага начин за заобикаляне на тази защита. Това не е вярно, ако просто включите надеждна захранваща тухла в стандартен електрически порт. С публичен USB порт обаче разчитате на връзка, която може да пренася данни.
С малко технологична хитрост е възможно да се използва USB порт и да се прехвърли зловреден софтуер към свързан телефон. Това е особено вярно, ако устройството работи с Android или по-стара версия на iOS и следователно изостава с актуализациите за сигурност.
Всичко звучи страшно, но дали тези предупреждения се основават на опасения от реалния живот? Разрових се по-дълбоко, за да разбера.
От теория към практика
И така, базираните на USB атаки срещу мобилни устройства чисто теоретични ли са? Отговорът е недвусмислено не.
Изследователите по сигурността отдавна разглеждат зарядните станции като потенциален вектор на атака. През 2011 г. ветеранът от инфосекцията, Брайън Кребс, дори измисли термина „джъкане на сок“ да опише експлойтите, които се възползват от него. Тъй като мобилните устройства се приближиха към масово приемане, много изследователи се фокусираха върху този един аспект.
През 2011 г. Стената на овцете, крайно събитие на конференцията за сигурност на Defcon, разположи кабини за зареждане, които, когато се използват, създаваха изскачащ прозорец на устройството, който предупреждаваше за опасностите от включването в ненадеждни устройства.
Две години по-късно, на събитието Blackhat USA, изследователи от Georgia Tech демонстрираха инструмент която може да се маскира като станция за зареждане и да инсталира зловреден софтуер на устройство, работещо с най-новата тогава версия на iOS.
Мога да продължа, но разбирате идеята. Най-уместният въпрос е дали откритието на „Juice Jacking“ се е превърнало в атаки в реалния свят. Тук нещата стават малко мътни.
Разбиране на риска
Въпреки че „извличането на сок“ е популярна област на фокус за изследователите по сигурността, едва ли има документирани примери за нападатели, използващи подхода. По-голямата част от медийното отразяване се фокусира върху доказателства за концепция от изследователи, които работят за институции, като университети и фирми за информационна сигурност. Най-вероятно това е така, защото по своята същност е трудно да се въоръжи обществена зарядна станция.
За да хакне обществена зарядна станция, нападателят ще трябва да получи специфичен хардуер (като миниатюрен компютър за разгръщане на зловреден софтуер) и да го инсталира, без да бъде хванат. Опитайте да направите това на натоварено международно летище, където пътниците са под интензивен контрол и сигурността конфискува инструменти, като отвертки, при регистрация. Цената и рискът правят juice jacking фундаментално неподходящ за атаки, насочени към широката публика.
Съществува и аргументът, че тези атаки са относително неефективни. Те могат да заразят само устройства, които са включени в контакт за зареждане. Освен това те често разчитат на дупки в сигурността, които производителите на мобилни операционни системи, като Apple и Google, редовно коригират.
Реално погледнато, ако хакер намеси обществена зарядна станция, това вероятно е част от целенасочена атака срещу човек с висока стойност, а не пътуващ, който трябва да хване няколко процентни точки на батерията по пътя си за работа.
Безопасността на първо място
Целта на тази статия не е да омаловажава рисковете за сигурността, породени от мобилните устройства. Смартфоните понякога се използват за разпространение на зловреден софтуер. Има и случаи на заразяване на телефони, докато са свързани към компютър, който съдържа злонамерен софтуер.
В статия на Reuters от 2016 г. Мико Хипонен, който всъщност е публичното лице на F-Secure, описва особено опасен вид зловреден софтуер за Android което засегна европейски производител на самолети.
„Хипонен каза, че наскоро е говорил с европейски производител на самолети, който каза, че почиства пилотските кабини на самолетите си всяка седмица от зловреден софтуер, предназначен за телефони с Android. Зловредният софтуер се разпространи в самолетите само защото служителите на фабриката зареждаха телефоните си с USB порта в пилотската кабина“, се казва в статията.
„Тъй като самолетът работи с различна операционна система, нищо няма да му се случи. Но това ще предаде вируса на други устройства, които са включени в зарядното устройство.
Купувате застраховка на дома не защото очаквате къщата ви да изгори, а защото трябва да планирате най-лошия сценарий. По същия начин трябва да вземете разумни предпазни мерки, когато използвате станции за зареждане на компютър. Когато е възможно, използвайте стандартен стенен контакт, а не USB порт. В противен случай помислете за зареждане на преносима батерия, а не на вашето устройство. Можете също да свържете преносима батерия и да зареждате телефона си от нея, докато се зарежда. С други думи, когато е възможно, избягвайте да свързвате телефона си директно към публични USB портове.
Въпреки че има малък документиран риск, винаги е по-добре да сте в безопасност, отколкото да съжалявате. Като общо правило избягвайте да включвате нещата си в USB портове, на които нямате доверие.