6Jul
Váš smartphone potrebuje znova nabíjanie ešte a vy ste mi vzdialený od nabíjačky doma;že verejný kiosk na nabíjanie vyzerá dosť sľubne - jednoducho zapojte telefón a získajte sladkú, sladkú energiu, o ktorú sa tešíte.Čo by sa mohlo pokaziť, nie? Vďaka bežným vlastnostiam hardvéru a softvéru pre mobilné telefóny je niekoľko vecí - prečítajte si viac informácií o zdvíhaní šťavy a ako sa tomu vyhnúť.
Čo je presne to, čo jukuje?
Bez ohľadu na to, aký typ moderného smartphonu máte - či už je to zariadenie s Androidom, iPhone alebo BlackBerry - existuje spoločná funkcia vo všetkých telefónoch: napájanie a tok dát prechádzajú cez ten istý kábel.Či už používate štandardné pripojenie USB miniB alebo vlastné káble spoločnosti Apple, je to tá istá situácia: kábel používaný na dobíjanie batérie v telefóne je ten istý kábel, ktorý používate na prenos a synchronizáciu údajov.
Toto nastavenie, dáta / napájanie na rovnakom kábli, ponúka prístupový vektor pre zlomyseľného používateľa, ktorý má prístup k telefónu počas procesu nabíjania.využívanie USB dátového / napájacieho kábla na nelegálny prístup k údajom telefónu a / alebo na vniknutie škodlivého kódu do zariadenia je známy ako Juicing Jacking.
Útok môže byť rovnako jednoduchý ako útok na súkromie, pričom váš telefón sa spája s počítačom ukrytým v kiosku na nabíjanie a informácie, ako sú súkromné fotografie a kontaktné informácie, sa prenášajú do škodlivého zariadenia.Útok môže byť rovnako invazívny ako injekcia škodlivého kódu priamo do vášho zariadenia. Na tohtoročnej bezpečnostnej konferencii BlackHat predstavitelia bezpečnosti Billy Lau, YeongJin Jang a Chengyu Song predstavujú "MACTANS: Injekcia malware do zariadení iOS prostredníctvom škodlivých nabíjačiek" a tu je výňatok z ich prezentácie abstrakt:
V tejto prezentácii demonštrujemeako môže byť zariadenie so systémom iOS ohrozené do jednej minúty od pripojenia k škodlivému nabíjačke. Najskôr skúmame existujúce bezpečnostné mechanizmy spoločnosti Apple na ochranu proti ľubovoľnej inštalácii softvéru a potom popíšeme, ako môžu byť využité možnosti USB na obídenie týchto obranných mechanizmov. Aby sme zaistili pretrvávanie výslednej infekcie, ukážeme, ako útočník môže skryť svoj softvér rovnakým spôsobom, ako Apple skryje vlastné zabudované aplikácie.
Aby sme demonštrovali praktické využitie týchto zraniteľností, vytvorili sme pomocou BeagleBoard dôkaz o koncepcii škodlivého nabíjačky nazývaného Mactans. Tento hardvér bol vybraný tak, aby dokázal ľahkú konštrukciu nevinných, škodlivých USB nabíjačiek. Zatiaľ čo Mactans bol postavený s obmedzeným časom a malým rozpočtom, takisto stručne zvážime, čo by mohli dosiahnuť motivovanejšími, dobre financovanými protivníkmi.
Použili lacný hardvér a jasnú bezpečnostnú zraniteľnosť, ale v priebehu menej ako minúty získali prístup k súčasným zariadeniam generácie iOS, a to aj napriek množstvu bezpečnostných opatrení, ktoré spoločnosť Apple zaviedla, aby sa takýmto veciam vyhnúť.
Takýto druh zneužitia je sotva nový banda na bezpečnostnom radare. Pred dvoma rokmi na bezpečnostnej konferencii DEF CON 2011, výskumníci z Aires Security, Brian Markus, Joseph Mlodzianowski a Robert Rowley postavili kiosk na účtovanie poplatkov, aby konkrétne preukázali nebezpečenstvo rozdrvenia šťavy a upozorňovali verejnosť na to, aké zraniteľné sú ich telefónypripojený k kiosku - obrázok uvedený vyššie sa používateľom zobrazil po pripojení do škodlivého kiosku. Dokonca aj zariadenia, ktoré boli poučené, aby nespárovali alebo zdieľali údaje, boli stále často ohrozované prostredníctvom kiosku Aires Security.
Oveľa znepokojujúcejšie je to, že vystavenie škodlivému kiosku môže vytvoriť pretrvávajúci problém s bezpečnosťou aj bez okamžitej injekcie škodlivého kódu. V nedávnom článku k tejto téme bezpečnostný výskumník Jonathan Zdziarski zdôrazňuje, ako zraniteľnosť párovania iOS pretrváva a môže ponúknuť škodlivým používateľom okno vášho prístroja, aj keď už nie ste v kontakte s kioskom:
Ak nie ste oboznámení s tým, ako párovanie funguje na vašom iPhone alebo iPad, je to mechanizmus, pomocou ktorého vaša pracovná plocha vytvorí s vašim zariadením dôveryhodný vzťah, aby s ním mohli rozprávať iTunes, Xcode alebo iné nástroje. Po spárovaní stolného počítača je možné získať prístup k množstvu osobných informácií o prístroji vrátane adresára, poznámok, fotografií, hudobnej zbierky, sms databázy, zadávania cache a môže dokonca iniciovať úplnú zálohu telefónu. Po spárovaní zariadenia môžete kedykoľvek získať bezdrôtové prístup k všetkým týmto funkciám a bez ohľadu na to, či máte zapnutú synchronizáciu WiFi. Párovanie trvá po dobu životnosti súborového systému: to znamená, že akonáhle je váš iPhone alebo iPad spárovaný s iným zariadením, tento vzájomný vzťah bude trvať, kým telefón nebude obnovený do továrenského stavu.
Tento mechanizmus, ktorý je určený na bezbolestné a príjemné používanie vášho zariadenia so systémom iOS, môže skutočne vytvoriť pomerne bolestivý stav: kiosk, ktorý ste práve nabili svoj iPhone, môžete teoreticky udržiavať do zariadenia iOS Wi-Fi pupočnú šnúru na trvalý prístup dokoncapo odpojení telefónu z telefónu a prepustení do neďalekej ležadlovej stoličky, aby ste mohli hrať kolo( alebo štyridsať) Angry Birds.
Ako som sa mal obávať?
Sme niečo, čo je ale alarmista v programe How-To Geek, a vždy vám to dávame priamo: v súčasnosti je zdvihnutie šťavy z veľkej časti teoretickou hrozbou a pravdepodobnosť, že nabíjacie porty USB v kiosku na vašom letisku sú v skutočnostitajná fronta pre sifónovanie údajov a počítač s podávaním malware je veľmi nízka. To však neznamená, že by ste mali pokrčiť ramenami a okamžite zabudnúť na veľmi reálne bezpečnostné riziko, ktoré predstavuje pripojenie vášho smartphonu alebo tabletu k neznámemu zariadeniu.
Pred niekoľkými rokmi, kedy sa rozšírením Firefoxu o slovo Firesheep hovorilo o meste v bezpečnostných kruhoch, bola to práve z veľkej časti teoretická, ale stále veľmi reálna hrozba jednoduchého rozšírenia prehliadača umožňujúceho používateľom uniesť používateľov webových služieb ostatných používateľovmiestny uzol Wi-Fi, ktorý viedol k významným zmenám. Koncoví užívatelia začali brať svoje bezpečnostné záležitosti prehliadania vážnejšie( pomocou techník, ako je tunelovanie cez domáce internetové pripojenie alebo pripojenie k VPN) a veľké internetové spoločnosti urobili dôležité bezpečnostné zmeny( ako je šifrovanie celej relácie prehliadača a nielen prihlásenie).
Presne takým spôsobom, aby si užívatelia uvedomili hrozbu zdvíhania šťavy, znižuje pravdepodobnosť, že ľudia budú zdvihnutý a zvýši tlak na spoločnosti, aby lepšie spravovali svoje bezpečnostné postupy( je to skvelé, napríklad, že váš prístroj iOS spáruje tak ľahkoa vaša používateľská skúsenosť je hladká, ale dôsledky párovania počas celého života so 100% dôverou v spárované zariadenie sú pomerne vážne).
Ako sa môžem vyhnúť zdržaniu šťavy?
Aj keď zdvíhanie džúsu nie je tak rozšíreným hrozbou ako priamy krádež telefónu alebo vystavenie škodlivým vírusom prostredníctvom kompromitovaných sťahovaní, stále by ste mali brať rozumné bezpečnostné opatrenia, aby ste sa vyhli vystaveniu systémom, ktoré môžu mať zlý prístup k vašim osobným zariadeniam. Obrázok so súhlasom spoločnosti Exogear .
Najdôležitejšie bezpečnostné opatrenia sa sústreďujú na jednoduché zbytočné nabíjanie telefónu pomocou systému tretej strany:
Udržujte svoje zariadenia špičkové: Najzrejmejšou opatrnosťou je udržať mobilné zariadenie nabité.Urobte si zvyk nabíjať telefón vo vašej domácnosti a kancelárii, keď ju aktívne nepoužívate, alebo sedíte pri pracovnom stole.Čím menej času zistíte, že sa pozeráte na červený 3% akumulátorový pruh, keď cestujete alebo odchádzate z domova, tým lepšie.
Nabíjanie osobnej nabíjačky: Nabíjačky sa stali tak malé a ľahké, že sotva vážia viac ako skutočný USB kábel, ktorému sú pripojené.Vložte do vrecka nabíjačku, aby ste mohli nabíjať vlastný telefón a udržiavať kontrolu nad dátovým portom.
Nainštalujte zálohovaciu batériu: Či už sa rozhodnete nosiť úplnú náhradnú batériu( pre zariadenia, ktoré vám umožňujú fyzicky vymeniť batériu) alebo externú rezervnú batériu( podobne ako táto malá 2600mAh), môžete ísť dlhšie bez toho,telefón do kiosku alebo do elektrickej zásuvky.
Okrem toho, že váš telefón udržiava plnú batériu, existujú dodatočné softvérové techniky, ktoré môžete použiť( hoci, ako si viete predstaviť, tieto sú menej vhodné ako ideálne a nie je zaručené, že budú pracovať vzhľadom na neustále sa vyvíjajúce preteky v zbrojení bezpečnostných útokov).Ako taký, nemôžeme skutočne podporiť žiadnu z týchto techník ako skutočne efektívnu, ale sú určite účinnejšie než nič.
Uzamknutie telefónu: Keď je telefón zablokovaný, skutočne uzamknutý a nedostupný bez zadania kódu PIN alebo ekvivalentného prístupového kódu, telefón sa nesmie spárovať so zariadením, ku ktorému je pripojené.Zariadenia so systémom iOS sa pri odomknutí spárujú, ale opäť, ako sme už zdôraznili, spárovanie sa uskutoční v priebehu niekoľkých sekúnd, aby ste sa ubezpečili, že telefón je skutočne zamknutý.
Vypnite telefón: Táto technika funguje iba na modeli telefónu podľa modelu telefónu, pretože niektoré telefóny napriek tomu, že sú vypnuté, stále napájajú celý okruh USB a umožňujú prístup k pamäti flash v zariadení.
Zablokovanie párovania( len zariadenie Jailbroken iOS): Jonathan Zdziarski, uvedený skôr v článku, vydal malú aplikáciu pre zariadenia jailbroken iOS, ktorá umožňuje koncovému používateľovi ovládať párovacie správanie zariadenia. Jeho aplikáciu, PairLock, nájdete v obchode Cydia a tu.
Jednou z posledných technik, ktorú môžete použiť, čo je efektívne, ale nepohodlné, je použiť kábel USB s dátovými vodičmi buď odstránenými alebo skratovanými. Predané ako káble "len na napájanie", na týchto kábloch chýbajú dva káble potrebné na prenos dát a zostanú len dva káble na prenos napájania. Jednou z nedostatkov pri používaní takéhoto kábla je však to, že vaše zariadenie bude obyčajne nabíjať pomalšie, pretože moderné nabíjačky používajú dátové kanály na komunikáciu so zariadením a nastavia príslušnú maximálnu hranicu prenosu( pri tejto komunikácii chýba,najnižšia bezpečná prahová hodnota).
V konečnom dôsledku najlepšia obrana proti ohrozenému mobilnému zariadeniu je povedomie. Zabezpečte, aby bol váš prístroj nabitý, povolte bezpečnostné funkcie poskytované operačným systémom( s vedomím, že nie sú odolné a aby sa mohol zneužiť každý bezpečnostný systém) a zabráňte pripojeniu telefónu k neznámym nabíjacím staniciam a počítačom rovnakým spôsobom, ako sa múdro vyhnúť otvoreniu prílohod neznámych odosielateľov.