מהו "מיץ גרב", ויש לי להימנע טלפון מטענים טלפון?

הטלפון הסלולרי שלך צריך לטעון מחדש עדיין שוב ואתה קילומטרים מן המטען בבית;כי קיוסק ציבורי הטעינה נראה די מבטיח - פשוט לחבר את הטלפון שלך ולקבל את המתוק, מתוק, אנרגיה לך להשתוקק.מה יכול להשתבש, נכון?הודות לתכונות נפוצות בחומרה של הטלפון הנייד ועיצוב תוכנה, לא מעט דברים לקרוא על מנת ללמוד עוד על מיץ jacking וכיצד להימנע מכך.

מה בדיוק מיץ ג 'ק?

ללא קשר לסוג הטלפון החכם המודרני שיש לך - יהיה זה מכשיר Android, iPhone או BlackBerry - יש תכונה אחת נפוצה בכל הטלפונים: אספקת החשמל ונתונים זורמים על אותו כבל.בין אם אתה משתמש בחיבור USB MiniBD הרגיל או בכבלים הקנייניים של Apple, המצב זהה: הכבל המשמש לטעינת הסוללה בטלפון שלך הוא אותו כבל שבו אתה משתמש כדי להעביר ולסנכרן את הנתונים שלך.

הגדרה זו, נתונים / הספק באותו כבל, מציעה וקטור גישה למשתמש זדוני כדי לקבל גישה לטלפון במהלך תהליך הטעינה;מינוף USB נתונים / כבל החשמל כדי לגשת באופן בלתי חוקי את נתוני הטלפון ו / או להזריק קוד זדוני על המכשיר ידוע בשם מיץ Jacking.

ההתקפה יכולה להיות פשוטה כמו פלישה לפרטיות, שבה זוגות הטלפון שלך עם מחשב מוסתר בתוך קיוסק הטעינה ומידע כמו תמונות פרטיות ופרטי אנשי קשר מועברים להתקן זדוני.ההתקפה יכולה גם להיות פולשנית כמו הזרקת קוד זדוני ישירות לתוך המכשיר שלך.בכנס האבטחה של BlackHat השנה, חוקרי האבטחה בילי לאו, יונג ג'ין ג'אנג וצ'נגיו סונג מציגים את "MACTANS: הזרקת תוכנות זדוניות למכשירי iOS באמצעות מטענים זדוניים", והנה קטע מתוך תקציר המצגת:

במצגת זו, אנו מדגימיםאיך מכשיר iOS יכול להיות בסכנה בתוך דקה אחת של להיות מחובר לתוך מטען זדוני.תחילה אנו בודקים את מנגנוני האבטחה הקיימים של אפל כדי להגן מפני התקנת תוכנה שרירותית, ולאחר מכן מתארים כיצד יכולות USB להיות ממונפות כדי לעקוף מנגנוני הגנה אלה.כדי להבטיח התמדה של זיהום וכתוצאה מכך, אנו מראים כיצד תוקף יכול להסתיר את התוכנה שלהם באותו אופן Apple מסתיר יישומים מובנים שלה.

כדי להדגים יישום מעשי של פגיעויות אלה, בנינו הוכחה של מטען זדוני קונספט, המכונה Mactans, באמצעות BeagleBoard.חומרה זו נבחרה כדי להדגים את הקלות שבה מטען USB זדוני למראה, זדוני יכול להיות בנוי.בעוד Mactans נבנה עם כמות מוגבלת של זמן ותקציב קטן, אנחנו גם בקצרה לשקול מה יותר מוטיבציה, היטב במימון יריבים יכול להשיג.

באמצעות חומרה זולה מחוץ מדף פגיעות אבטחה בולטת, הם היו מסוגלים לקבל גישה למכשירי iOS הדור הנוכחי פחות מדקה, למרות אמצעי האבטחה רבים Apple יש לשים במקום במיוחד כדי למנוע את זה סוג של דבר.

זה סוג של לנצל הוא כמעט לא פליפ חדש על המכ"ם הביטחון, עם זאת.לפני שנתיים בוועידה לביטחון של ה- DEF 2011, חוקרים מאירס סקיוריטי, בריאן מרקוס, ג'וזף מלוזיאנובסקי ורוברט ראולי, הקימו קיוסק טעינה כדי להדגים באופן ספציפי את הסכנות של גניבת מיצים ולהזהיר את הציבור עד כמה הטלפון הפגיע שלהם היה כאשרמחובר לקיוסק - התמונה לעיל הוצגה למשתמשים לאחר שהם נכנסו לקיוסק הזדוני.אפילו מכשירים שהונחו לא לצרף או לשתף נתונים עדיין נפגעו לעיתים קרובות דרך קיוסק האבטחה של איירסק.

עוד יותר מטריד הוא כי חשיפה קיוסק זדוני יכול ליצור בעיה אבטחה מתמשכת גם ללא הזרקה מיידית של קוד זדוני.במאמר שפורסם לאחרונה בנושא, חוקר האבטחה ג'ונתן זדזיארסקי מדגיש כיצד פגיעות הזיווג ב- iOS מתמשכת ויכול להציע למשתמשים זדוניים חלון למכשיר שלך גם לאחר שאינך נמצא בקשר עם הקיוסק:

אם אינך יודע כיצד פועל השיוך ב- iPhone או ב- iPad שלך, זהו המנגנון שבאמצעותו שולחן העבודה שלך יוצר מערכת יחסים אמינה עם המכשיר כך ש- iTunes, Xcode או כלים אחרים יכולים לדבר איתו.לאחר מחשב שולחני כבר לזווג, הוא יכול לגשת שורה של מידע אישי על המכשיר, כולל פנקס הכתובות שלך, הערות, תמונות, אוסף מוסיקה, מסד הנתונים sms, מטמון הקלדת, והוא יכול גם ליזום גיבוי מלא של הטלפון.לאחר התקנת המכשיר, כל זה ועוד ניתן לגשת באופן אלחוטי בכל עת, ללא קשר אם יש לך סינכרון WiFi מופעלת.זיווג נמשך לאורך חיי מערכת הקבצים: כלומר, ברגע שה- iPhone או ה- iPad משויכים למכונה אחרת, מערכת היחסים של ההתאמה נמשכת עד שתשחזר את הטלפון למצב של יצרן.

מנגנון זה, שמטרתו להפוך את מכשיר ה- iOS ללא כאבים ומהנה, יכול למעשה ליצור מצב מכאיב למדי: הקיוסק שהטענת את ה- iPhone שלך ​​יכול, באופן תיאורטי, לשמור על כבל טבורי Wi-Fi למכשיר ה- iOS שלך כדי להמשיך בגישה אפילואחרי שאתה ניתק את הטלפון שלך וצנח לתוך כיסא נוח בשדה התעופה הסמוך כדי לשחק עגול( או ארבעים) של Angry Birds.

כמה מודאג אני צריך להיות?

אנחנו כאן משהו אבל אזעקות כאן How-To Geek, ואנחנו תמיד נותנים לך את זה ישר: כרגע מיץ jacking הוא איום תיאורטי במידה רבה, ואת הסיכויים כי USB לחייב יציאות בקיוסק בשדה התעופה המקומי הם למעשההחזית סוד עבור נתונים siphoning זדוניות הזרקת המחשב הם נמוכים מאוד.זה לא אומר, עם זאת, כי אתה פשוט צריך למשוך את הכתפיים שלך לשכוח מיד את הסיכון האמיתי מאוד אבטחה כי חיבור הטלפון החכם או הטאבלט למצב לא מוכר תנוחות.

לפני מספר שנים, כשהתוסף של Firefox Firesheep היה הדיבור על העיר במעגלי אבטחה, זה היה דווקא האיום התיאורטי, אך עדיין ממשי מאוד, של הרחבת דפדפן פשוטה המאפשרת למשתמשים לחטוף את הפעלות המשתמשים בשירות האינטרנט של משתמשים אחריםאת הצומת Wi-Fi המקומי שהוביל לשינויים משמעותיים.משתמשי הקצה התחילו להתייחס ברצינות רבה יותר לביטחון הגלישה שלהם( באמצעות טכניקות כמו מנהור דרך חיבורי האינטרנט הביתיים שלהם או חיבור לרשתות VPN) וחברות האינטרנט הגדולות עשו שינויי אבטחה משמעותיים( כגון הצפנת כל הפגישה בדפדפן ולא רק ההתחברות).

בדיוק במובן זה, מה שהופך את המשתמשים מודעים לאיום של מיץ ג 'קנג הן מקטין את הסיכוי שאנשים יהיו מיץ ג' קד ומגביר את הלחץ על חברות כדי לנהל טוב יותר את נוהלי האבטחה שלהם( זה נהדר, למשל, כי מכשיר ה- iOS שלך זוגות כל כך בקלותועושה את חוויית המשתמש חלקה, אך ההשלכות של זיווג לכל החיים עם אמון של 100% במכשיר המשויך הן רציניות למדי).

איך אני יכול להימנע מיץ ג 'ק?

למרות שמיץ הגלישה אינו איום נפוץ כמו גניבת טלפון גלויה או חשיפה לוירוסים זדוניים דרך הורדות בסכנה, אתה עדיין צריך לנקוט באמצעי זהירות הגיוניים כדי למנוע חשיפה למערכות שעלולות לגשת זדוניים התקנים אישיים שלך. תמונה באדיבות Exogear .

אמצעי הזהירות הברור ביותר מתמקדים סביב פשוט מה שהופך אותו מיותר לחייב את הטלפון באמצעות מערכת צד שלישי:

שמור על ההתקנים שלך עקף: אמצעי זהירות ברור ביותר הוא לשמור על המכשיר הנייד שלך טעונה.הפוך אותו להרגל לחייב את הטלפון שלך בבית ובמשרד כאשר אתה לא פעיל משתמש בו או יושב ליד שולחן העבודה שלך עושה עבודה.כמה פעמים אתה מוצא את עצמך בוהה בסוללת 3% אדום הסוללה כאשר אתה נוסע או מהבית, יותר טוב.

לשאת מטען אישי: מטענים הפכו כל כך קטנים וקלים שהם בקושי שוקלים יותר מאשר כבל ה- USB בפועל הם מייחסים.לזרוק מטען בתיק שלך, כך שאתה יכול לחייב את הטלפון שלך ולשמור על שליטה על יציאת הנתונים.אם תבחר לשאת סוללה חלופית מלאה( עבור התקנים שמאפשרים לך להחליף את הסוללה באופן פיזי) או סוללת רזרבה חיצונית( כמו זו של 2600mAh זעירה), תוכל לעבור זמן רב יותר ללא צורך לקשור את הסוללה שלך.טלפון אל קיוסק או שקע בקיר.

בנוסף לכך שהטלפון שלך שומר על סוללה מלאה, קיימות טכניקות תוכנה נוספות שבהן אתה יכול להשתמש( אם כי, כפי שאתה יכול לדמיין, אלה הן פחות אידיאליות ולא מובטח לעבוד בהתחשב במרוץ החימוש המתפתח כל הזמן של מנצל אבטחה).ככזה, אנחנו לא יכולים באמת לתמוך בכל הטכניקות האלה כמו יעיל באמת, אבל הם בהחלט יעיל יותר מאשר לא עושה כלום.

נעילת הטלפון שלך: כשהטלפון נעול, נעול באמת ולא ניתן לגשת אליו ללא הקלט של קוד PIN או קוד שווה, הטלפון שלך לא צריך להתאים את ההתקן אליו הוא מחובר.מכשירי iOS יסתדרו רק כאשר לא נעולים - אבל שוב, כפי שהודגשנו קודם, ההתאמה מתבצעת תוך שניות, לכן מוטב שתוודא שהטלפון נעול באמת.

כבה את הטלפון למטה: טכניקה זו פועלת רק על פי דגם הטלפון על פי מודל הטלפון כפי טלפונים מסוימים יהיה, למרות להיות מופעל למטה, עדיין כוח על כל מעגל ה- USB ולאפשר גישה אחסון פלאש במכשיר.

השבת זיווג( התקני iOS Jailbroken בלבד): ג'ונתן זדזיארסקי, שהוזכר קודם לכן במאמר, פרסם בקשה קטנה למכשירי iOS של jailbroken, המאפשר למשתמש הקצה לשלוט בהתנהגות ההתאמה של המכשיר.אתה יכול למצוא את היישום שלו, PairLock, בחנות Cydia וכאן.

טכניקה סופית אחת שבה ניתן להשתמש, שהיא יעילה אך לא נוחה, היא להשתמש בכבל USB עם חוטי הנתונים או הוסר או קצר.נמכר כמו "כוח בלבד" כבלים, כבלים אלה חסרים את שני החוטים הדרושים להעברת נתונים יש רק את שני החוטים עבור השידור נותרו.אחד היתרונות של שימוש בכבל כזה, עם זאת, הוא כי המכשיר שלך בדרך כלל תשלום לאט יותר כמו מטענים מודרניים להשתמש בערוצי נתונים כדי לתקשר עם המכשיר ולהגדיר סף העברה מקסימלית מתאימה( בהעדר תקשורת זו, המטען יהיה ברירת המחדל כדיהסף הבטוחה ביותר).

בסופו של דבר, ההגנה הטובה ביותר נגד המכשיר הנייד שנפגע הוא מודעות.שמרו את המכשיר שלכם, הפעילו את תכונות האבטחה המסופקות על-ידי מערכת ההפעלה( בידיעה שהם אינם חסינים מפני תקלות וכל מערכת אבטחה ניתנת לניצול), והימנעו מלהתקשר לטלפון לתחנות טעינה לא ידועות ולמחשבים באותה דרך שבה אתם נמנעים מלפתח קבצים מצורפיםמשולחים לא ידועים.