6Jul
Älypuhelimesi tarvitsee ladata uudelleen : n ja : n uudelleen ja olet kilometriä laturista kotona;että julkinen latauskioski näyttää melko lupaavalta - liitä vain puhelin ja saat makea, makea, energiaa, jota kaipaat. Mikä voisi mennä pieleen, eikö?Kiitos laitteiden ja ohjelmistosuunnittelun yhteisten ominaisuuksien ansiosta melkoisia asioita - lue lisätietoja leviämisen lisäämisestä ja siitä, miten voit välttää sen.
Mikä on Juice Jacking?
Riippumatta siitä, millaista modernia älypuhelinta sinulla on - onko se Android-laite, iPhone tai BlackBerry - on yksi yhteinen piirre kaikissa puhelimissa: virtalähde ja datavirta kulkevat saman kaapelin yli. Käytätkö nyt käytännöllistä USB miniB-liitäntää vai Applen omia kaapeleita, sama tilanne: puhelimesi akun lataamiseen käytetty kaapeli on sama kaapeli, jota käytät tietojen siirtämiseen ja synkronointiin.
Tämä asennus, data / teho samassa kaapelissa tarjoaa lähestymistavan vektorin haitalliselle käyttäjälle päästäksesi puhelimeen latausprosessin aikana;hyödyntämällä USB-dataa / virtakaapelia, jotta voit käyttää puhelimen tietoja laittomasti ja / tai pistää haitallisen koodin laitteelle, kutsutaan nimellä Juice Jacking.
Hyökkäys voi olla yhtä yksinkertainen kuin yksityisyyden tunkeutuminen, jossa puhelimesi pariksi latauskioskassa piilotetulla tietokoneella ja tiedot, kuten yksityiset valokuvat ja yhteystiedot, siirretään haitalliselle laitteelle. Hyökkäys voi olla yhtä invasiivinen kuin vahingollisen koodin pistäminen suoraan laitteeseen. Tämän vuoden BlackHat-turvallisuuskonferenssissa turvatekniikan tutkijat Billy Lau, YeongJin Jang ja Chengyu Song esittelevät "MACTANS: Injektoimalla haittaohjelmat iOS-laitteille kautta haittaohjelmat", ja tässä on esitys heidän esityksestään. Abstrakti:
Tässä esityksessä osoitammemiten iOS-laite voi vaarantua minuutin kuluessa siitä, että se on kytketty haitalliseen laturiin. Tutustumme ensin Applen olemassa oleviin suojausmekanismeihin suojaamatta mielivaltaista ohjelmiston asennusta ja selostetaan, miten USB-ominaisuuksia voidaan hyödyntää näiden puolustusmekanismien ohittamiseksi. Vahvistaaksesi tartunnan jatkumisen, näytämme kuinka hyökkääjä voi piilottaa ohjelmistonsa samalla tavalla kuin Apple sulkee omat sisäänrakennetut sovellukset.
Näiden haavoittuvuuksien käytännön soveltamisen osoittamiseksi rakensimme BeagleBoardin avulla malliesimerkki nimeltä Mactans. Tämä laitteisto valittiin osoittamaan, kuinka helposti viattomia näköisiä, haitallisia USB-latkoja voidaan rakentaa. Vaikka Mactans on rakennettu rajoitetulla ajalla ja pienellä budjetilla, tarkastelemme myös lyhyesti mitä motivoituneemmat, hyvin rahoitetut vastustajat voisivat saavuttaa.
Käyttämällä halpoja off-the-shelf-laitteita ja häikäisevää suojaushaavoittuvuutta ne pystyivät pääsemään nykyisten sukupolvien iOS-laitteille alle minuutissa, huolimatta lukuisista tietoturvatoimista, jotka Apple on ottanut käyttöön välttääkseen nimenomaan tällaisia asioita.
Tällainen hyökkäys ei kuitenkaan ole kovin uusi suojaus tutka-radalla. Kaksi vuotta sitten vuoden 2011 DEF CON -turvallisuuskonferenssissa Aires Securityin, Brian Markuksen, Joseph Mlodzianowskiin ja Robert Rowleyn tutkijat rakensivat latauskioski, joka osoitti nimenomaisesti mehiläisvahingon vaarat ja varoitti yleisöä siitä, kuinka haavoittuvaiset puhelimet olivat silloinliitetty kioskiin - yllä oleva kuva näytettiin käyttäjille sen jälkeen, kun heidät haudattiin haitalliseen kioskiin. Myös laitteet, joille oli annettu ohjeet olla parittomia tai jakamatta tietoja, häirittiin edelleen usein Aires Security kioskin kautta.
Huolestuttavampi on se, että altistuminen haitalliselle kioskitille voi aiheuttaa pitkäaikaisen tietoturvaongelman jopa ilman välittömästi vahingollisen koodin pistämistä.Viimeisimmässä artikkelissa turvallisuustutkija Jonathan Zdziarski korostaa, miten iOS-pariliitoksen haavoittuvuus jatkuu ja voi tarjota haittaohjelmille laitteen ikkunaa, vaikka et olisikaan enää kosketuksissa kioskin kanssa:
Jos et tiedä, miten pariliitos toimii iPhonella tai iPadilla, tämä on mekanismi, jolla työpöydällesi luodaan luotettava suhde laitteeseesi, jotta iTunes, Xcode tai muut työkalut voivat puhua sen kanssa. Kun työpöytäkone on yhdistetty, se voi käyttää useita laitteeseen liittyviä henkilökohtaisia tietoja, kuten osoitekirjaasi, muistiinpanoja, valokuvia, musiikkikokoelmasi, sms-tietokantaa, kirjoittamalla välimuistin ja jopa käynnistää puhelimen täydellisen varmuuskopion. Kun laite on muodostettu pariksi, kaikki tämä ja muut ovat käytettävissä langattomasti milloin tahansa riippumatta siitä, onko WiFi-synkronointi käytössä.Pariliitos kestää tiedostojärjestelmän käyttöiän ajan eli toisin sanoen, kun iPhone tai iPad on yhdistetty toiseen koneeseen, pariliitos on kestävä, kunnes palaat puhelimen tehdasasetukseen.
Tämä mekanismi, jonka tarkoituksena on tehdä iOS-laitteesi käyttämisestä kivuton ja nautinnollinen, voi itse asiassa luoda melko tuskallisen tilan: kioski, jonka olet juuri ladannut iPhonesi, voi teoreettisesti ylläpitää Wi-Fi-napanuoran iOS-laitteellesi.kun olet irrotanut puhelimesi ja heittäytyneet läheiseen lentokentän lepotuoliin pyöreän( tai neljänkymmenen) Angry Birdsin pelaamiseen.
Kuinka huolissani pitäisi olla?
Olemme vain hälyttäjiä tässä How-To Geekissä, ja aina annamme sen sinulle suoraan: tällä hetkellä mehutiivistys on suurelta osin teoreettinen uhka ja mahdollisuudet, että USB-latausportit lähikaupungin kioskissa ovat todellisuudessasalaisen etupuolen data-siphoning ja haittaohjelmien injektointitietokone ovat hyvin alhaiset. Tämä ei kuitenkaan tarkoita, että sinun pitäisi vain sormella hartiasi ja unohtaa välittömästi todellinen turvallisuusriski, joka kytkee älypuhelimen tai tabletin tuntemattomaan laitteeseen.
Useita vuosia sitten, kun Firefox-laajennuksen Firesheep oli kaupunkia turvallisuuspiireissä, se oli nimenomaan teoreettinen mutta silti todellinen uhka yksinkertaisesta selainlaajennuksesta, jonka avulla käyttäjät voivat kaapata muiden käyttäjien verkkopalvelun käyttäjien istunnotpaikallinen Wi-Fi-solmu, joka johti merkittäviin muutoksiin. Loppukäyttäjät alkoivat selata tietoturvaansa entistä vakavammin( käyttämällä tekniikoita, kuten tunnelointi kotiin internetyhteyksien tai VPN-yhteyksien kautta) ja suuret internet-yritykset tekivät suuria tietoturva-muutoksia( kuten salauksen koko selaussessiota eikä vain kirjautumista).
Tällä tavalla käyttäjien tietoisuus mehutiivistämisen uhasta vähentää sekä ihmisten mahdollisuutta käyttää mehuja ja lisää paineita yrityksille parantamaan tietoturvakäytänteitään( on esimerkiksi hienoa, että iOS-laite parisi niin helpostija tekee käyttökokemuksesi sileäksi, mutta elämäntyyppisten parien yhdistäminen 100%: n luottamukseen pariksi muodostettuun laitteeseen on melko vakava).
Kuinka voin välttää sokeriliuskat?
Vaikka mehutiivistys ei ole niin yleinen uhka kuin suoranaisen puhelimen varastamisen tai altistumisen haittaohjelmien viruksille vaarantuneiden latausten välityksellä, kannattaa silti tehdä järkeviä varotoimia, jotta vältetään altistuminen järjestelmille, jotka saattavat vahingoittaa henkilökohtaisia laitteitasi. Kuva exogear : n hyvästä syystä.
Ilmeisimmät varotoimet keskittyvät yksinkertaisesti siihen, että puhelimen lataaminen kolmannen osapuolen järjestelmällä on tarpeetonta:
Pidä laitteet irti: Ilmeisin varotoimi on pitää matkapuhelin ladattu. Tee se tapana ladata puhelimesi kotiin ja toimistoosi, kun et käytä sitä aktiivisesti tai istuessasi työpöydälläsi. Mitä harvemmin löydät sinusta, kun katsot punaista 3%: n paristopalkkia matkustettaessa tai poissa kotoa, sitä paremmin.
Carry a Personal Charger: Laturit ovat nyt niin pieniä ja kevyitä, että ne painavat tuskin enemmän kuin todellinen USB-kaapeli, johon ne liittävät. Heitä laturi pussiin, jotta voit ladata oman puhelimen ja hallita tietoportin hallintaa.
Varmuuskopio akku: Haluatko kuljettaa täyden vara-akun( laitteita, joiden avulla voit vaihtaa fyysisesti akun) tai ulkoisen vara-akun( kuten tämä pieni 2600mAh), voit mennä kauemmin tarvitsematta kiinnittääpuhelimeen kioskiin tai pistorasiaan.
Sen lisäksi, että puhelimesi ylläpitää täydellä akulla, on olemassa myös muita ohjelmistotekniikoita, joita voit käyttää( vaikkakin, kuten voitte kuvitella, nämä ovat vähemmän kuin ihanteellisia eivätkä taata työskennellä, kun otetaan huomioon jatkuvasti kehittyvät turvallisuusuhkat).Emme voi todellakaan hyväksyä mitään näistä tekniikoista todella tehokkaiksi, mutta ne ovat varmasti tehokkaampia kuin tehdä mitään.
Puhelimen lukitseminen: Kun puhelin on lukittuna, lukittuna ja saavuttamattomana ilman PIN-koodin tai vastaavan salasanan syöttämistä, puhelimen ei pidä muodostaa pariliitäntä siihen laitteeseen, johon se on kytketty.iOS-laitteet vain parit, kun avautuvat - mutta uudelleen, kuten korostimme aiemmin, pariliitos tapahtuu muutamassa sekunnissa, joten sinun olisi parasta varmistaa, että puhelin todella on lukittu.
Virta puhelin alaspäin: Tämä tekniikka toimii vain puhelinmallilla puhelimen mallin perusteella, sillä jotkut puhelimet, vaikka virta on kytketty pois päältä, vielä virtaa koko USB-piiriin ja antavat pääsyn flash-tallennukseen laitteessa.
Poista pariliitos käytöstä( vain Jailbroken iOS -laitteet): Jonathan Zdziarski, joka mainittiin aiemmin artikkelissa, julkaisi pienen sovelluksen jailbroken iOS-laitteille, jonka avulla loppukäyttäjä voi hallita pariliitoksen käyttäytymistä laitteessa. Löydät hänen hakemuksensa, PairLock, Cydia Storesta ja täältä.
Yksi lopullinen tekniikka, jota voit käyttää, mikä on tehokasta mutta epämukavaa, on käyttää USB-kaapelia, jossa datajohdot poistetaan tai oikosuljetetaan. Myydään vain "teho" -kaapeleina, näissä kaapeleissa puuttuu kaksi tiedonsiirtoa tarvitsevaa johtoa ja vain kaksi johdosta voimansiirtoon jäljellä.Yksi tällaisen kaapelin käytöstä on kuitenkin se, että laite latautuu hitaammin, sillä nykyaikaiset laturit käyttävät datakanavia kommunikoimaan laitteen kanssa ja asettavat sopivan maksimikynnyksen( tämän viestin puuttuessa laturi oletusarvoisestialin turvallinen kynnys).
Viime kädessä parasta puolustusta kompromisseista mobiililaitteista on tietoisuutta. Pidä laitteesi ladattu, ota käyttöön käyttöjärjestelmän tarjoamat suojausominaisuudet( tietäen, että ne eivät ole epäkelvottomia ja että jokainen turvajärjestelmä voidaan hyödyntää) ja vältä puhelimen kytkemistä tuntemattomiin latausasemiin ja tietokoneisiin samalla tavalla kuin viisasta välttää liitetiedostojen avaamistatuntemattomilta lähettäjiltä.