6Jul
Ваш паметни телефон треба поново да напуни опет и ви ћете бити удаљени од пуњача код куће;тај јавни киоск за пуњење изгледа прилично обећавајући - само укључите телефон и добијете слатку, слатку енергију коју жудите.Шта би могло погрешити, зар не?Захваљујући заједничким особинама у хардверу и софтверу мобилног телефона, пуно ствари прочитајте како бисте сазнали више о дизању сокова и како то избјећи.
Шта је то сок?
Без обзира на врсту модерног паметног телефона који имате - било да је Андроид уређај, иПхоне или БлацкБерри - постоји једна заједничка карактеристика на свим телефонима: напајање и проток података прелазе исти кабел.Без обзира да ли тренутно користите стандардну УСБ миниБ конекцију или каблове Аппле-а, то је иста ситуација: кабл који се користи за пуњење батерије у вашем телефону је исти кабл који користите за пренос и синхронизацију података.
Ова поставка, подаци / напајање на истом каблу, нуди приступни вектор за злонамерног корисника који ће добити приступ вашем телефону током процеса пуњења;коришћење УСБ кабла за пренос података / напајања како би се незаконито приступили подацима телефона и / или убризгали злонамерни код на уређај познат је као сок од жице.
Напад би могао бити једноставан као инвазија приватности, при чему ваши телефонски парови са компјутером који се скривају унутар киоска за пуњење и информације као што су приватне фотографије и контакт информације преносе се на злонамерни уређај.Напад такође може бити инвазиван као убризгавање злонамјерног кода директно на ваш уређај.На овогодишњој БлацкХат безбедносној конференцији, истраживачи за сигурност Билли Лау, ИеонгЈин Јанг и Цхенгиу Сонг представили су "МАЦТАНС: убризгавање малваре-а у иОС уређаје путем малициозних пуњача", а овдје је извадак из презентације сажетак:
У овој презентацији ми показујемокако се иОС уређај може угрозити у року од једног минута од укључивања у злонамерни пуњач.Прво истражујемо постојеће сигурносне механизме компаније Аппле ради заштите од произвољне инсталације софтвера, а затим описати како могућности УСБ-а могу бити искоришћене како би заобишле ове одбрамбене механизме.Да бисмо осигурали упорност настале инфекције, показаћемо како нападач може сакрити свој софтвер на исти начин како Аппле сакрива сопствене уграђене апликације.
Да бисмо демонстрирали практичну примену ових рањивости, изградили смо доказ о концепту злонамерног пуњача, званог Мацтанс, користећи БеаглеБоард.Овај хардвер је изабран да демонстрира лакоћу са којом се могу конструисати нешкодљиви, злонамерни УСБ пуњачи.Иако је Мацтанс изграђен са ограниченим временом и малим буџетом, укратко разматрамо шта би могле постићи више мотивисани, добро финансирани противници.
Користећи јефтину хардверску офф-тхе-схелф и брзорастућу сигурносну рањивост, успјели су добити приступ тренутним иОС уређајима за мање од једног минута, упркос бројним сигурносним мјерама које је Аппле успоставио да би конкретно избјегао ову врсту ствари.
Оваква врста експлоатације, међутим, тешко је нови блип на сигурносном радару.Пре две године на конференцији за безбедност ДЕФ ЦОН 2011 истраживачи Аирес Сецурити, Бриан Маркус, Јосепх Млодзиановски и Роберт Ровлеи изградили су киоск за пуњење и специфично демонстрирали опасности од сокова и упозорили јавност на то колико су рањиви њихови телефони кадаповезан са киоском - горња слика је приказана корисницима након што су ушли у злонамерни киоск.Чак и уређаји који су упућени да не упаравају или деле податке, и даље су често компромитовани преко Аирес Сецурити киоса.
Још је забрињавајућа чињеница да излагање злонамерном киоску може створити дуготрајни сигурносни проблем чак и без непосредног убризгавања злонамјерног кода.У недавном чланку о овој теми, истраживач безбедности Јонатхан Здзиарски истиче како рањивост упаривања иОС-а и даље може понудити злонамерним корисницима прозор на ваш уређај чак и након што више не ступите у контакт са киоском:
Ако нисте упознати како упаривање функционише на вашем иПхоне-у или иПад-у, ово је механизам помоћу кога ваша радна површина успоставља поуздану везу са вашим уређајем тако да иТунес, Ксцоде или други алати могу разговарати с њим.Једном када је десктоп рачунар упарен, он може приступити низу личних информација на уређају, укључујући ваш адресар, белешке, фотографије, музичку збирку, базе смс-а, куцање кеш меморије и чак може покренути пуну резервну копију телефона.Када уређај буде упарен, све ово и више се може приступити бежичним путем у било ком тренутку, без обзира да ли је укључена ВиФи синхронизација.Упаривање траје за животни систем датотека: то јест, када се ваш иПхоне или иПад упари са другом машином, тај однос упаривања траје док не вратите телефон у фабричко стање.
Овај механизам, који намерава да користи ваш иОС уређај безболан и пријатан, стварно може створити прилично болно стање: киоск који сте управо напунили својим иПхонеом, теоретски, може одржавати Ви-Фи умбиликални кабл за ваш иОС уређај за континуирани приступ чак инакон што сте искључили телефон и слали у оближњу столицу за летење на аеродрому да бисте играли округли( или четрдесет) Ангри Бирдс.
Колико сам забринут да будем?
Ми смо нешто узнемирујуће на Хов-То Геек-у, и ми вам то увек пружамо равно: тренутно је сакривање сокова у великој мери теоретска пријетња, а шансе да су УСБ пуњачи у киоску на вашем локалном аеродрому заправотајни фронт за сифонирање података и компјутер који убризгавају малваре су веома мали.То, међутим, не значи да бисте требали само слегати рамена и одмах заборавити на стварни безбедносни ризик који представљају повезивање вашег паметног телефона или таблета са непознатим уређајем.
Пре неколико година, када је Фирефок Ектенсион Фиресхееп био прича о граду у сигурносним круговима, управо је то била углавном теоретска, али ипак веома стварна опасност од једноставног проширења претраживача, омогућавајући корисницима да отму корисничке сесије других корисникалокални Ви-Фи чвор који је доводио до значајних промена.Крајњи корисници су озбиљније схватали безбедност сесије претраживања( користећи технике као што су тунелирање путем кућних интернетских веза или повезивање са ВПН) и главне интернет компаније су направиле велике промјене у погледу сигурности( као што је шифрирање читаве сесије претраживача, а не само пријављивање).
Управо овакав начин, чинећи корисницима свесне претње сокова, смањују се шансе да ће људи бити сокови и повећати притисак на компаније да боље управљају својим безбедносним праксама( одлично је, на примјер, да ваш иОС уређај упада тако лакои чини ваше корисничко искуство глатким, али импликације доживотног упаривања са 100% повјерењем у упарени уређај су прилично озбиљне).
Како могу избјећи сок од сокова?
Иако џакирање сокова није толико распрострањена претња као што је потпуна крађа телефона или изложеност злонамерним вирусима путем компромитованих преузимања, требало би да користите опште мере опреза како бисте избегли излагање системима који могу злонамерно приступити вашим личним уређајима. Изузетна слика Екогеар .
Најочигледније мере предострожности усредсређене на једноставно чинећи да је непотребно пунити ваш телефон помоћу система независних произвођача:
Одржавајте своје уређаје на врху: Најочигледнија предострожност је да напуните свој мобилни уређај.Направите навику да напуните свој телефон у својој кући и канцеларији када га не активно користите или седите за радом на столу.Што сте мање пута гледали у црвену 3% батерију када путујете или далеко од куће, боље је.
Носите лични пуњач: Пуњачи су постали тако мали и лагани да једва теже више од стварног УСБ кабла који се прикључују.Баците пуњач у торбу тако да можете пунити сопствени телефон и одржавати контролу над портом података.
Носите резервну батерију: Без обзира да ли желите да носите пуну резервну батерију( за уређаје који вам омогућавају да физички замените батерију) или екстерну резервну батерију( као овај мали 2600мАх један), можете ићи дуже без потребе да вам прикачитетелефон у киоск или зидну утичницу.
Поред тога што осигурава да телефон одржава пуну батерију, постоје додатне софтверске технике које можете користити( иако, како можете замислити, то су мање од идеала и не гарантовано да раде с обзиром на стално развијену трку оружја за сигурносне експлоатације).Као таква, не можемо заиста подржати било коју од ових техника као заиста ефикасне, али су свакако ефикасније него што ништа не раде.
Закључај свој телефон: Када је ваш телефон закључан, заиста закључан и неприступачан без уноса ПИН-а или еквивалентног приступног кода, ваш телефон се не сме упарити са уређајем на који је повезан.ИОС уређаји ће се упарити само када су откључани - али опет, као што смо раније истакли, упаривање се одвија у року од неколико секунди, па је боље да се уверите да је телефон заиста закључан.
Искључите телефон доле: Ова техника ради само на моделу телефона по моделу телефона, јер ће неки телефони упркос томе што ће бити напуштени, и даље укључивати читаво УСБ круг и омогућити приступ блиц у уређају.
Онемогући упаривање( само за Јаилброкен иОС уређаје): Јонатхан Здзиарски, који је раније поменут у чланку, издао је малу апликацију за јаилброкен иОС уређаје који омогућавају крајњем кориснику да контролише понашање упаривања уређаја.Његову апликацију, ПаирЛоцк, можете пронаћи у Цидиа Сторе-у и овде.
Једна финална техника коју можете користити, која је ефикасна али неугодна, јесте да користите УСБ кабл са жицама за податке који су уклоњени или изостављени.Као каблови са "само снагом", ови каблови недостају две жице неопходне за пренос података и имају само две жице за преостали пренос електричне енергије.Једна од недостатака коришћења таквог кабла је, међутим, да ће се ваш уређај обично пунити спорије јер савремени пуњачи користе канале за пренос података како би комуницирали са уређајем и поставили одговарајући максимални преносни пренос( одсутност ове комуникације, пуњач ће подразумеватинајнижи сигурносни праг).
На крају, најбоља заштита од компромитованог мобилног уређаја је свесност.Држите свој уређај напуњен, омогућите безбедносне функције које пружа оперативни систем( знајући да нису сигурни и сваки сигурносни систем може бити искоришћен) и избегавајте укључивање телефона у непознате пуњачеве станице и рачунаре на исти начин на који ви мудро избегавате отварање прилогаод непознатих пошиљаоца.