Αυτές τις μέρες, αεροδρόμια, εστιατόρια, ακόμη και λεωφορεία διαθέτουν σταθμούς φόρτισης USB. Είναι όμως ασφαλείς; Εάν χρησιμοποιήσετε ένα από αυτά, θα μπορούσε να παραβιαστεί το τηλέφωνο ή το tablet σας; Η ομάδα του iguru έκανε τον έλεγχο για εσάς και σας παρουσιάζει τα αποτελέσματα!
Πολλοί ειδικοί εφιστούν την προσοχή
Ορισμένοι ειδικοί πιστεύουν ότι θα πρέπει να ανησυχείτε αν έχετε χρησιμοποιήσει ένα δημόσιο σταθμό φόρτισης USB. Ερευνητές από την ομάδα δοκιμών διείσδυσης της IBM, X-Force Red, εξέδωσαν μερικές προειδοποιήσεις για τους κινδύνους που σχετίζονται με τους δημόσιους σταθμούς φόρτισης.
“Η σύνδεση σε μια δημόσια θύρα USB είναι σαν να βρεις μια οδοντόβουρτσα στο πλάι του δρόμου και να αποφασίσεις να την βάλεις στο στόμα σου”, δήλωσε ο Caleb Barlow, αντιπρόεδρος της X-Force Red. “Δεν έχεις ιδέα πού ήταν αυτό το πράγμα.”
Ο Barlow επισημαίνει ότι οι θύρες USB δεν μεταφέρουν απλώς ισχύ, αλλά μεταφέρουν και δεδομένα μεταξύ των συσκευών.
Με λίγη τεχνολογική “εξυπνάδα”, μπορείτε να αλλάξετε μια θύρα USB και να προωθήσετε κακόβουλο λογισμικό σε ένα συνδεδεμένο τηλέφωνο. Αυτό ισχύει ιδιαίτερα αν η συσκευή τρέχει με Android ή κάποια παλαιότερη έκδοση του iOS και δεν έχει τις απαραίτητες ενημερώσεις ασφαλείας.
Ακούγεται τρομακτικό, αλλά αυτές οι προειδοποιήσεις βασίζονται σε πραγματικές ανησυχίες:
Από τη θεωρία στη πράξη
Λοιπόν, οι επιθέσεις που βασίζονται σε USB εναντίον κινητών συσκευών είναι καθαρά θεωρητικές; Η απάντηση είναι ένα σαφές όχι.
Οι ερευνητές ασφαλείας θεωρούν από καιρό τους σταθμούς φόρτισης σαν πιθανά σημεία επίθεσης. Το 2011, ο βετεράνος infosec δημοσιογράφος, Brian Krebs, έφτιαξε τον όρο ” jacking jack ” για να περιγράψει τεχνικές που χρησιμοποιούν αυτές τις επιθέσεις. Καθώς οι κινητές συσκευές είναι πλέον παντού, πολλοί ερευνητές έχουν επικεντρωθεί σε αυτό το σημείο.
Το 2011, το Wall of Sheep, στο συνέδριο ασφαλείας Defcon, δημιούργησε ένα θάλαμο φόρτισης που όταν χρησιμοποιούνταν, εμφάνιζε ένα αναδυόμενο παράθυρο στη συσκευή που προειδοποίησε για τους κινδύνους από τη σύνδεση σε μη αξιόπιστες συσκευές.
Δύο χρόνια αργότερα, στην εκδήλωση Blackhat USA, ερευνητές από την Georgia παρουσίασαν ένα εργαλείο που μπορούσε να μεταμφιέζεται σαν σταθμός φόρτισης και να εγκαταστήσει κακόβουλο λογισμικό σε μια συσκευή που τρέχει την τελευταία έκδοση του iOS.
Θα μπορούσα να συνεχίσω, αλλά έχετε καταλάβει ήδη. Το πιο σημαντικό ερώτημα είναι αν η ανακάλυψη του ” Juice Jacking” υπάρχει σε πραγματικές επιθέσεις. Εδώ είναι που τα πράγματα γίνονται λίγο πιο σκοτεινά.
Κατανόηση του κινδύνου
Παρά το γεγονός ότι το “jacking jack” είναι ένας δημοφιλής τομέας για τους ερευνητές της ασφάλειας, δεν υπάρχουν τεκμηριωμένα παραδείγματα επιτιθέμενων που χρησιμοποιούν αυτή τη προσέγγιση. Το μεγαλύτερο μέρος της κάλυψης από τα μέσα ενημέρωσης επικεντρώνεται σε αποδεικτικά στοιχεία από ερευνητές που εργάζονται σε ιδρύματα, όπως πανεπιστήμια και εταιρείες ασφάλειας πληροφοριών. Πιθανότατα, αυτό συμβαίνει επειδή είναι εγγενώς δύσκολο να “οπλιστεί” ένας δημόσιος σταθμός φόρτισης.
Για να χακαριστεί ένας δημόσιος σταθμός φόρτισης, ο εισβολέας θα πρέπει να αποκτήσει συγκεκριμένο hardware (όπως ένας μικροσκοπικός υπολογιστής για την ανάπτυξη κακόβουλου λογισμικού) και να το εγκαταστήσει χωρίς να τον ανακαλύψουν. Δοκιμάστε να το κάνετε σε ένα πολυσύχναστο διεθνές αεροδρόμιο, όπου οι επιβάτες υπόκεινται σε έλεγχο και η ασφάλεια κατασχέτει εργαλεία κατά το check-in. Το κόστος και ο κίνδυνος καθιστούν το jacking jack ακατάλληλο για επιθέσεις που απευθύνονται στο ευρύ κοινό.
Υπάρχει επίσης το επιχείρημα ότι αυτές οι επιθέσεις είναι σχετικά αναποτελεσματικές. Μπορούν να μολύνουν μόνο τις συσκευές που είναι συνδεδεμένες σε μια πρίζα φόρτισης. Επιπλέον, συχνά βασίζονται σε κενά ασφαλείας των λειτουργικών συστημάτων.
Ρεαλιστικά, αν ένας χάκερ αποκτήσει πρόσβαση σε έναν δημόσιο σταθμό φόρτισης, πιθανότατα το κάνει για μια στοχευμένη επίθεση εναντίον ενός ατόμου υψηλής αξίας, όχι για κάποιον τυχαίο ταξιδιώτη που θέλει απλά να φορτίσει την συσκευή του.
Πρώτα η ασφάλεια
Η πρόθεση αυτού του άρθρου δεν είναι να υποβαθμίσει τους κινδύνους ασφαλείας που ενέχουν οι κινητές συσκευές. Τα smartphone χρησιμοποιούνται μερικές φορές για τη διάδοση κακόβουλου λογισμικού. Υπήρξαν επίσης περιπτώσεις μολύνσεων τηλεφώνων κατά τη σύνδεση σε ένα υπολογιστή που “φιλοξενεί” κάποιο κακόβουλο λογισμικό.
Σε ένα άρθρο του Reuters το 2016, ο Mikko Hypponen της F-Secure, περιέγραψε ένα ιδιαίτερα επιβλαβές στέλεχος κακόβουλου λογισμικού για Android που επηρέασε έναΝ Ευρωπαίο κατασκευαστή αεροσκαφών.
“Ο Hypponen ανέφερε ότι μίλησε πρόσφατα με έναν Ευρωπαίο κατασκευαστή αεροσκαφών που του είπε ότι καθαρίζει τα πιλοτήρια των αεροπλάνων του κάθε εβδομάδα από κακόβουλο λογισμικό που έχει σχεδιαστεί για τηλέφωνα Android. Το κακόβουλο λογισμικό εξαπλώθηκε στα αεροπλάνα μόνο επειδή οι πιλότοι φόρτιζαν τα τηλέφωνά τους με τη θύρα USB στο πιλοτήριο”, ανέφερε το άρθρο.
“Επειδή το αεροπλάνο χρησιμοποιεί ένα διαφορετικό λειτουργικό σύστημα, δεν θα του συμβεί τίποτα. Αλλά θα μεταδώσει τον ιό σε άλλες συσκευές που είναι συνδεδεμένες στο φορτιστή. ”
Αγοράζετε μια ασφάλεια για το σπίτι σας όχι επειδή περιμένετε να πέσει το σπίτι, αλλά επειδή πρέπει να είστε έτοιμοι για το χειρότερο σενάριο. Ομοίως, θα πρέπει να λαμβάνετε προφυλάξεις όταν χρησιμοποιείτε σταθμούς φόρτισης . Αν είναι δυνατόν, χρησιμοποιήστε μια τυπική πρίζα τοίχου και όχι μια θύρα USB. Διαφορετικά, φορτίστε μια φορητή μπαταρία και όχι τη συσκευή σας.