6Jul
Ponsel cerdas Anda memerlukan pengisian ulang namun lagi dan Anda berada bermil-mil dari pengisi baterai di rumah;kios pengisian barang publik itu terlihat cukup menjanjikan-cukup colokkan telepon Anda dan dapatkan energi manis dan manis yang Anda idamkan. Apa yang mungkin bisa salah, bukan? Berkat ciri umum pada perangkat keras ponsel dan perancangan perangkat lunak, cukup banyak hal-baca terus untuk mempelajari lebih lanjut tentang pembajakan jus dan bagaimana menghindarinya.
Apa yang Tepat Jus Jaket?
Terlepas dari jenis smartphone modern yang Anda miliki-jadilah perangkat Android, iPhone, atau BlackBerry-ada satu fitur umum di semua telepon: catu daya dan arus data melewati kabel yang sama. Apakah Anda menggunakan koneksi USB miniB standar sekarang atau kabel milik Apple, ini adalah situasi yang sama: kabel yang digunakan untuk mengisi ulang baterai di telepon Anda adalah kabel yang sama yang Anda gunakan untuk mentransfer dan menyinkronkan data Anda.
Penyiapan, data / daya pada kabel yang sama, menawarkan sebuah pendekatan vektor bagi pengguna jahat untuk mendapatkan akses ke telepon Anda selama proses pengisian;memanfaatkan data USB / kabel daya untuk secara tidak sah mengakses data telepon dan / atau menyuntikkan kode berbahaya ke perangkat dikenal sebagai Juice Jacking.
Serangannya bisa sesederhana invasi privasi, dimana pasangan telepon Anda dengan komputer tersembunyi di dalam kios pengisian dan informasi seperti foto pribadi dan informasi kontak akan ditransfer ke perangkat berbahaya tersebut. Serangan juga bisa sama invasifnya dengan suntikan kode berbahaya langsung ke perangkat Anda. Pada konferensi keamanan BlackHat tahun ini, periset keamanan Billy Lau, YeongJin Jang, dan Chengyu Song mempresentasikan "MACTANS: Menyuntikkan Perangkat Malware ke Perangkat IOS Via Bahaya Berbahaya", dan inilah kutipan dari presentasi mereka yang abstrak:
Dalam presentasi ini, kami menunjukkanbagaimana perangkat iOS dapat dikompromikan dalam satu menit karena dicolokkan ke pengisi daya berbahaya. Kami pertama kali memeriksa mekanisme keamanan Apple yang ada untuk melindungi dari pemasangan perangkat lunak yang tidak tepat, lalu jelaskan bagaimana kemampuan USB dapat dimanfaatkan untuk memotong mekanisme pertahanan ini. Untuk memastikan ketekunan infeksi yang ditimbulkan, kami menunjukkan bagaimana penyerang dapat menyembunyikan perangkat lunak mereka dengan cara yang sama seperti Apple menyembunyikan aplikasi bawaannya sendiri.
Untuk menunjukkan penerapan kerentanan ini secara praktis, kami membuat bukti konsep charger berbahaya, yang disebut Mactans, menggunakan BeagleBoard. Perangkat keras ini dipilih untuk menunjukkan kemudahan penggunaan pengisi daya USB berbahaya yang tidak bersalah. Sementara Mactans dibangun dengan jumlah waktu dan anggaran yang terbatas, kami juga secara singkat mempertimbangkan apa yang dapat dicapai oleh musuh yang lebih termotivasi dan didanai dengan baik.
Dengan menggunakan perangkat keras off-the-shelf yang murah dan kerentanan keamanan yang mencolok, mereka dapat memperoleh akses ke perangkat iOS generasi sekarang dalam waktu kurang dari satu menit, meskipun ada banyak tindakan pengamanan yang dilakukan Apple untuk secara khusus menghindari hal semacam ini.
Eksploitasi semacam ini hampir tidak menjadi blip baru pada radar keamanan. Dua tahun yang lalu pada konferensi keamanan DEF CON 2011, para periset dari Aires Security, Brian Markus, Joseph Mlodzianowski, dan Robert Rowley, membangun kios pengisian untuk secara khusus menunjukkan bahaya pembajakan jus dan mengingatkan masyarakat betapa rentannya telepon mereka saatterhubung ke kios-gambar di atas ditampilkan kepada pengguna setelah mereka mendongkrak kios berbahaya tersebut. Bahkan perangkat yang telah diinstruksikan untuk tidak memasangkan atau berbagi data masih sering dikompromikan melalui kios Keamanan Aires.
Yang lebih mengganggu lagi adalah bahwa keterpaparan pada kios berbahaya dapat menciptakan masalah keamanan yang masih ada bahkan tanpa segera melakukan injeksi kode berbahaya. Dalam artikel terbaru mengenai masalah ini, peneliti keamanan Jonathan Zdziarski menyoroti bagaimana kerentanan pasangan iOS tetap ada dan dapat menawarkan pengguna jahat sebuah jendela ke perangkat Anda bahkan setelah Anda tidak lagi berhubungan dengan kios tersebut:
Jika Anda tidak terbiasa dengan cara kerja berpasangan pada iPhone atau iPad Anda, ini adalah mekanisme di mana desktop Anda menjalin hubungan tepercaya dengan perangkat Anda sehingga iTunes, Xcode, atau alat lainnya dapat berbicara dengannya. Setelah mesin desktop dipasangkan, ia dapat mengakses sejumlah informasi pribadi pada perangkat, termasuk buku alamat, catatan, foto, koleksi musik, database sms, cache ketik, dan bahkan dapat melakukan backup penuh telepon. Setelah perangkat dipasangkan, semua ini dan lebih banyak dapat diakses secara nirkabel setiap saat, terlepas dari apakah Anda mengaktifkan WiFi sync. Penyandingan berlangsung untuk kehidupan sistem berkas: yaitu, jika iPhone atau iPad Anda dipasangkan dengan mesin lain, hubungan pasangan berlangsung sampai Anda mengembalikan ponsel ke keadaan pabrik.
Mekanisme ini, yang dimaksudkan untuk menggunakan perangkat IOS Anda tanpa rasa sakit dan menyenangkan, sebenarnya dapat menciptakan keadaan yang agak menyakitkan: kios yang baru saja mengisi ulang iPhone Anda dengan secara teoritis, dapat mempertahankan kabel ikat Wi-Fi ke perangkat iOS Anda untuk akses lanjutan sekalipun.setelah Anda mencabut kabel telepon dan merosot ke kursi bandara terdekat untuk memainkan Bulatan( atau empat puluh) Angry Birds.
Betapa Khawatir Haruskah Saya?
Kami sama sekali tidak khawatir di sini, How-To Geek, dan kami selalu memberikannya langsung kepada Anda: saat ini jus jacking adalah ancaman yang sangat teoritis, dan kemungkinan port pengisian USB di kios di bandara lokal Anda sebenarnya adalahBagian depan rahasia menyederhanakan data dan komputer penyuntik malware sangat rendah. Ini tidak berarti, bagaimanapun, bahwa Anda sebaiknya hanya mengangkat bahu dan segera melupakan risiko keamanan yang sangat nyata yang menancapkan smartphone atau tablet Anda ke pose perangkat yang tidak dikenal.
Beberapa tahun yang lalu, ketika ekstensi Firefox Firesheep adalah pembicaraan di kota di kalangan keamanan, justru merupakan ancaman teoritis namun tetap sangat nyata dari perluasan browser sederhana yang memungkinkan pengguna membajak sesi pengguna layanan web pengguna lain dinode Wi-Fi lokal yang menyebabkan perubahan signifikan. Pengguna akhir mulai menganggap keamanan sesi penjelajahan mereka lebih serius( menggunakan teknik seperti tunneling melalui koneksi internet di rumah mereka atau terhubung ke VPN) dan perusahaan internet besar melakukan perubahan keamanan utama( seperti mengenkripsi keseluruhan sesi browser dan bukan hanya login).
Dengan cara ini, membuat pengguna sadar akan ancaman pembajakan jus, keduanya mengurangi kesempatan orang-orang untuk menjadi jaket kulit dan meningkatkan tekanan pada perusahaan untuk mengelola praktik keamanan mereka dengan lebih baik( sangat bagus, misalnya, bahwa perangkat iOS Anda sangat mudahdan membuat pengalaman pengguna Anda lancar, namun implikasi pemasangan pasangan seumur hidup dengan kepercayaan 100% pada perangkat pasangan cukup serius).
Bagaimana Cara Menghindari Jus Jus?
Meskipun pembajakan jus tidak meluas sebagai ancaman karena pencurian atau pemalsuan telepon secara langsung terhadap virus berbahaya melalui download yang terganggu, Anda tetap harus mengambil tindakan pencegahan common sense untuk menghindari paparan terhadap sistem yang mungkin membahayakan akses perangkat pribadi Anda. Gambar milik Exogear .
Tindakan pencegahan yang paling jelas ada di sekitar sehingga tidak perlu mengisi daya telepon Anda menggunakan sistem pihak ketiga:
Jaga agar Perangkat Anda Diakhiri: Tindakan pencegahan yang paling jelas adalah membiarkan perangkat mobile Anda tetap terpasang. Biasakan menagih telepon di kantor dan rumah Anda saat Anda tidak menggunakannya secara aktif atau duduk di meja kerja Anda. Semakin sedikit waktu Anda menemukan diri Anda menatap batere 3% merah saat Anda bepergian atau jauh dari rumah, semakin baik.
Membawa Charger Pribadi: Charger telah menjadi begitu kecil dan ringan sehingga beratnya hampir tidak lebih dari kabel USB sebenarnya yang mereka gunakan. Lemparkan pengisi daya ke dalam tas Anda sehingga Anda dapat mengisi daya telepon Anda sendiri dan mempertahankan kontrol atas port data.
Membawa Baterai Cadangan: Apakah Anda memilih untuk membawa baterai cadangan penuh( untuk perangkat yang memungkinkan Anda menukar baterai secara fisik) atau baterai cadangan eksternal( seperti yang kecil ini 2600mAh), Anda dapat bertahan lebih lama tanpa perlu menambatkantelepon ke kios atau stopkontak.
Selain memastikan telepon Anda mempertahankan baterai penuh, ada beberapa teknik perangkat lunak tambahan yang dapat Anda gunakan( walaupun, seperti yang dapat Anda bayangkan, ini kurang ideal dan tidak dijamin akan bekerja mengingat perlombaan senjata eksploitasi keamanan yang terus berkembang).Dengan demikian, kita tidak dapat benar-benar mendukung teknik-teknik ini karena benar-benar efektif, tapi tentu saja lebih efektif daripada tidak melakukan apa-apa.
Mengunci Ponsel Anda: Bila telepon Anda terkunci, benar-benar terkunci dan tidak dapat diakses tanpa memasukkan kode PIN atau kode akses yang setara, telepon Anda seharusnya tidak dipasangkan dengan perangkat yang terhubung dengannya. Perangkat iOS hanya akan dipasangkan saat dibuka - tapi sekali lagi, seperti yang telah kami simpulkan sebelumnya, pemasangan berlangsung dalam hitungan detik sehingga sebaiknya Anda benar-benar terkunci.
Power the Phone Down: Teknik ini hanya bekerja pada model telepon berdasarkan model telepon karena beberapa telepon akan, meski sedang dimatikan, masih menyala di seluruh rangkaian USB dan memungkinkan akses ke penyimpanan flash di perangkat.
Disable Pairing( Jailbroken IOS Devices Only): Jonathan Zdziarski, yang disebutkan sebelumnya dalam artikel tersebut, merilis sebuah aplikasi kecil untuk perangkat iOS jailbroken yang memungkinkan pengguna akhir mengendalikan perilaku pemasangan perangkat. Anda bisa menemukan aplikasinya, PairLock, di Cydia Store dan di sini.
Salah satu teknik terakhir yang bisa Anda gunakan, yang efektif namun tidak nyaman, adalah dengan menggunakan kabel USB dengan kabel data yang dilepas atau korslet. Dijual sebagai kabel "hanya daya", kabel ini kehilangan dua kabel yang diperlukan untuk transmisi data dan hanya memiliki dua kabel untuk transmisi daya yang tersisa. Salah satu kelemahan penggunaan kabel semacam itu, bagaimanapun, adalah perangkat Anda biasanya akan mengenakan biaya lebih lambat karena pengisi daya modern menggunakan saluran data untuk berkomunikasi dengan perangkat dan menetapkan batas maksimum transfer yang sesuai( tidak ada komunikasi ini, pengisi daya akan menjadi defaultambang aman terendah).
Pada akhirnya, pertahanan terbaik melawan perangkat seluler yang disusupi adalah kesadaran. Jaga agar perangkat Anda tetap dibebankan, aktifkan fitur keamanan yang disediakan oleh sistem operasi( karena mengetahui bahwa perangkat itu tidak mudah dan setiap sistem keamanan dapat dieksploitasi), dan hindari menancapkan telepon Anda ke stasiun pengisian baterai dan komputer yang tidak diketahui dengan cara yang sama dengan Anda dengan bijak hindari membuka lampiran.dari pengirim yang tidak dikenal
