6Jul

Kas yra "sultys", ar turėčiau vengti viešųjų telefono kroviklių?

Jūsų sumanusis telefonas turi papildyti dar ir esate toli nuo įkroviklio namuose;kad viešasis įkrovimo kioskas atrodys labai perspektyvus - tiesiog įjunkite savo telefoną ir gaukite saldus, saldus, energiją, kurią trokštate. Kas galėtų būti klaidingas, tiesa? Dėl bendrų telefono aparatinės įrangos ir programinės įrangos bruožų, daugybės dalykų skaitykite toliau, kad sužinotumėte daugiau apie sulčių pakėlimą ir kaip to išvengti.

Kas yra sultys?

Nepriklausomai nuo to, kokį šiuolaikinį išmanųjį telefoną turėsite - jis yra "Android" įrenginys, "iPhone" arba "BlackBerry" - visuose telefonuose yra viena bendra funkcija: maitinimo šaltinis ir duomenų srautas pereina per tą patį kabelį.Nesvarbu, ar naudojate dabar standartinį "USB miniB" ryšį, ar "Apple" patentuotus kabelius, ta pati situacija yra tokia pati: kabeliu, naudojamu įkrauti bateriją jūsų telefone, tas pats kabelis, kurį naudojate perduoti ir sinchronizuoti duomenis.

Šis nustatymas, duomenys / maitinimas tame pačiame kabelyje siūlo kryšminio vartotojo artėjimo vektorių, kad įkrovimo procese būtų įmanoma pasiekti telefoną;USB duomenų ar maitinimo kabelio svertas naudojant neteisėtai prieigą prie telefono duomenų ir / arba įterpiant kenkėjišką kodą į prietaisą yra žinomas kaip "Sultys".

Išpuolis gali būti taip paprasta, kaip privatumo įsibrovimas, kai jūsų telefonas susiejamas su įkrovimo kiosku slaptu kompiuteriu, o informacija, pvz., Privačios nuotraukos ir kontaktinė informacija, yra perkelta į kenkėjišką prietaisą.Ši ataka taip pat gali būti tokia invazinė kaip kenkėjiško kodo įpurškimas tiesiai į jūsų įrenginį.Šių metų BlackHat saugumo konferencijoje saugumo mokslininkai Billy Lau, YeongJin Jang ir Chengyu Song pristatė "MACTANS: kenkėjiškų programų įkėlimas į" iOS "įrenginius kenkėjiškuose įkrovikliuose", o čia pateikiama ištrauka iš jų pristatymo santraukos:

Šiame pranešime mes demonstruojamekaip "iOS" įrenginys gali būti pažeistas per vieną minutę po to, kai jis yra prijungtas prie piktybinio įkroviklio. Pirmiausia apžvelgiame "Apple" esamus saugumo mechanizmus, skirtus apsaugoti nuo savavališko programinės įrangos diegimo, tada apibūdinkite, kaip USB pajėgumai gali būti panaudoti siekiant apeiti šiuos gynybos mechanizmus. Siekdami užtikrinti infekcijos išlikimą, mes parodome, kaip užpuolikas gali slėpti savo programinę įrangą taip, kaip Apple slepia savo įmontuotąsias programas.

Norėdami įrodyti praktinį šių pažeidžiamumų taikymą, mes sukūrėme "BeagleBoard" piktybiško įkroviklio, vadinamo "Mactans", sąvoką.Ši aparatūra buvo parinkta, kad pademonstruotų, kokia lengvai galima sukurti nekaltai atrodančius, kenksmingus USB įkroviklius. Nors "Mactans" buvo pastatytas ribotą laiką ir nedidelį biudžetą, mes taip pat trumpai apsvarstysime, kokių motyvuotų, gerai finansuojamų priešininkų galėtų įvykdyti.

Naudodamiesi pigia nešiojamuoju technine įranga ir akivaizdi saugos pažeidžiamumu, jie galėjo gauti mažiau nei per minutę minutę prieigą prie dabartinės kartos "iOS" įrenginių, nepaisant daugybės saugumo priemonių, kurias "Apple" įdiegė konkrečiai išvengti tokio dalyko.

Tokio tipo išnaudojimo vargu ar yra naujasis saugumo radaras. Prieš dvejus metus 2011 m. DEF CON saugos konferencijoje mokslininkai iš "Aires Security", Brian Markus, Joseph Mlodzianowski ir Robert Rowley pastatė įkrovimo kioską, kuris konkrečiai parodytų sacharozės keliamą grėsmę ir įspėtų visuomenę, kiek jų telefonai buvo pažeidžiamiprijungtas prie kiosko - anksčiau pateiktas vaizdas naudotojams buvo rodomas po to, kai jie pateko į kenksmingą kioską.Netgi prietaisai, kuriems buvo nurodyta nesusieti ar dalintis duomenimis, vis tiek dažnai buvo pažeisti "Aires Security" kiosku.

Dar labiau nerimą kelia tai, kad kenksmingos kiosko poveikis gali sukelti ilgalaikę saugumo problemą net ir nedelsiant įvedant kenksmingą kodą.Nesename straipsnyje apie šį klausimą saugumo tyrėjas Jonathanas Zdziarskis atkreipia dėmesį į tai, kaip "iOS" susijungimo pažeidžiamumas išlieka ir gali pasiūlyti kenkėjiškiems vartotojams langą jūsų įrenginiui net ir tada, kai nebendrajate su kiosku:

Jei nesate susipažinę su tuo, kaip poravimas veikia jūsų "iPhone" ar "iPad", tai yra mechanizmas, pagal kurį jūsų kompiuteris nustato patikimus ryšius su savo įrenginiu, kad iTunes, Xcode ar kiti įrankiai galėtų kalbėtis su juo. Kai kompiuteryje yra suporuotas kompiuteris, jis gali pasiekti daugybė asmeninės informacijos apie įrenginį, įskaitant jūsų adresų knygą, pastabas, nuotraukas, muzikos kolekciją, sms duomenų bazę, spausdinti talpyklą ir netgi gali inicijuoti visą telefono atsarginę kopiją.Kai įrenginys suporuosis, visa tai ir daugiau gali būti pasiekiami bevieliu ryšiu bet kuriuo metu, nepriklausomai nuo to, ar įjungtas "Wi-Fi" sinchronizavimas. Susiejimas trunka visą failų sistemos veikimo laiką: tai yra, kai jūsų "iPhone" ar "iPad" suporuojamas su kitu kompiuteriu, šis susiejimas palaikomas, kol atkursite telefoną į gamyklinę būseną.

Šis mechanizmas, kuriuo siekiama, kad jūsų "iOS" įrenginys taptų neskausmingas ir malonus, iš tikrųjų gali sukelti gana skausmingą būseną: kioskas, kurį tiesiog įkraunate savo "iPhone" su "can", teoriškai gali palaikyti "Wi-Fi" nugarą prie savo "iOS" įrenginio, kad būtų galima tęsti prieigą netpo to, kai išjungėte telefoną ir nukrito į greta esantį oro uosto poilsio kėdę, kad galėtumėte žaisti apvalus( ar keturiasdešimt) "Angry Birds".

Kaip man kelia nerimą?

Mes nieko neskaitytume čia "How-To Geek", ir mes visada jums tai duodame tiesiai: šiuo metu sulčių pakėlimas yra iš esmės teorinė grėsmė, ir tikimybė, kad USB vietinio oro uosto kioskio įkrovimo uostai iš tikrųjų yraPaslaptis fone duomenų sifonavimas ir kenkėjiškų programų švirkštimo kompiuteris yra labai mažas. Tačiau tai nereiškia, kad turėtumėte tiesiog nulenkti pečius ir nedelsdami pamiršti apie labai tikrą pavojų saugumui, kad jūsų smartfon ar planšetinis kompiuteris yra nežinomas prietaisas.

Prieš keletą metų, kai "Firefox" plėtinys "Firesheep" buvo miesto aptarimas saugumo ratuose, būtent teorinė, tačiau vis dar labai tikroji paprasto naršyklės išplėtimo grėsmė, leidžianti naudotojams užgrobti kitų vartotojų interneto paslaugų naudotojų sesijasvietinis "Wi-Fi" mazgas, kuris sukėlė didelių pokyčių.Galutiniai vartotojai pradėjo rimtai tikrinti savo naršymo seansą( naudojant tokius būdus, kaip tuneliavimas per namų interneto ryšį arba prisijungiant prie VPN), o pagrindinės interneto kompanijos padarė didelių saugumo pakeitimų( pvz., Užšifruoja visą naršyklės sesiją, o ne tik prisijungimą).

Būtent tokiu būdu, informuojant vartotojus apie sulčių pakėlimo grėsmę, sumažėja tikimybė, kad žmonės bus priversti sultis ir padidins įmonių spaudimą geriau valdyti savo saugumo praktiką( tai puiku, pavyzdžiui, kad jūsų "iOS" įrenginių poros taip lengvaiir užtikrina, kad jūsų naudotojo patirtis būtų sklandi, tačiau gyvenimo poros pasekmės su 100% pasitikėjimu suporuotu įrenginiu yra gana rimtos).

Kaip išvengti sultys?

Nors sulčių pakėlimas nėra tokia plačiai paplitęs kaip grėsmė, nes telefonų vagystė arba kenksmingų virusų aptikimas naudojant pažeistus atsisiuntimus, vis tiek reikia imtis atsargumo priemonių, kad būtų išvengta sistemos, kuri gali pažeisti jūsų asmeninius įrenginius. Vaizdo turintis Exogear .

Labiausiai akivaizdi atsargumo priemonė yra ta, kad nereikia įkrauti telefono per trečiosios šalies sistemą:

Išlaikykite įrenginius: Labiausiai akivaizdu, kad atsarginis mobiliojo įrenginio įkrovimas. Padarykite įprotį įkrauti telefoną į savo namus ir biurą, kai aktyviai nenaudojate ar nesėdite prie savo darbo stalo. Kuo kelis kartus atsidursite raudonoje 3% akumuliatoriaus juostoje, kai keliaujate arba toli nuo namų, tuo geriau.

Nešiokite asmeninį įkroviklį: įkrovikliai tapo tokie maži ir lengvi, kad jų sunku pasverti daugiau nei tikrasis USB kabelis, kurį jie prijungia. Mesti į maišą įkroviklį, kad galėtumėte įkrauti savo telefoną ir išlaikyti duomenų prievado valdymą.

Atlikite atsarginę bateriją: Nesvarbu, ar pasirinksite nešioti visą atsarginę bateriją( prietaisams, kurie leidžia fiziškai keisti akumuliatorių) arba išorinės atsarginės akumuliatoriaus( pvz., Šios mažos 2600 mAh) baterijos, galite ilgiau praeiti, nereikalaudami prijungti savotelefoną į kioską ar sieninį lizdą.

Be to, kad jūsų telefonas palaikytų visą akumuliatorių, yra papildomų programinės įrangos technikos, kurias galite naudoti( nors, kaip jūs galite įsivaizduoti, jie yra mažiau nei idealūs ir nėra garantuota, kad jie dirba, nuolat besikeičiančioms saugumo varžyboms).Todėl negalime iš tikrųjų patvirtinti, kad bet kuris iš šių metodų yra tikrai veiksmingas, tačiau jie tikrai yra veiksmingesni už nieko nedaryti.

Užrakinkite savo telefoną: Jei jūsų telefonas yra užrakintas, tikrai užrakintas ir neprieinamas be PIN kodo ar lygiaverčio prieigos kodo įvedimo, telefonas neturėtų susieti su įrenginiu, prie kurio jis prijungtas."iOS" įrenginiai tik susiejami, kai atrakinta, tačiau vėl, kaip parodyta anksčiau, susiejimas vyksta per kelias sekundes, taigi jums reikėjo įsitikinti, kad telefonas tikrai užrakintas.

Maitinimas telefonu žemyn: Ši technologija veikia tik telefono modeliu pagal telefono modelį, nes kai kurie telefonai, nepaisant to, kad jie išjungiami, vis dar įjungia visą USB grandinę ir suteikia prieigą prie įrenginyje esančios "flash" atmintinės.

Išjunkite poravimą( "Jailbroken" tik "iOS" įrenginiai): anksčiau minėta Jonathan Zdziarski išleido nedidelę paraišką jailbroken "iOS" įrenginiams, kurie leidžia galutiniam vartotojui valdyti įrenginio porų elgesį.Jo paraiška "PairLock" galite rasti Cydia parduotuvėje ir čia.

Vienas galutinis būdas, kuris yra veiksmingas, tačiau nepatogu, - tai naudoti USB kabelį su duomenų laidais, kurie yra pašalinti arba trumpinami. Parduodami kaip "maitinimo" kabeliai, šiuose kabeliuose trūksta dviejų laidų, reikalingų duomenims perduoti, ir liko tik du maitinimo laidai. Tačiau vienas iš tokių kabelių naudojimo trūkumų yra tai, kad jūsų įtaisas paprastai ima lėčiau, nes šiuolaikiniai įkrovikliai naudoja duomenų kanalus bendrauti su įrenginiu ir nustato atitinkamą didžiausią perdavimo slenkstį( nėra šio ryšio, įkroviklis pagal nutylėjimą busmažiausia saugi riba).

Galiausiai geriausia apsauga nuo pažeistų mobiliųjų įrenginių yra sąmoningumas. Laikykitės įtaiso įkrovimo, įjunkite operacinės sistemos pateiktas apsaugos funkcijas( žinodama, kad jie nėra saugūs ir kiekviena apsaugos sistema gali būti naudojama), taip pat neleiskite savo telefono į nežinomas įkrovimo stotis ir kompiuterius jungti taip pat, kaip jūs protingai nenorite atidaryti priedųiš nežinomų siuntėjų.