6Jul
Akıllı telefonunuz 'yi tekrar şarj etmeye, yine 'ye ihtiyaç duyuyor ve evdeki şarj cihazından mil var. Bu kamuya açık kiosk oldukça umut verici görünüyor - sadece telefonunuzu takın ve arzuladığınız tatlı, tatlı enerjiyi elde edin. Olası neler olabilir, değil mi? Cep telefonu donanımı ve yazılım tasarımındaki ortak özelliklerden dolayı, pek çok şey - meyve suyu toplama ve bunun önlenmesi hakkında daha fazla bilgi edinmek için okumaya devam edin.
Meyve suyu tam olarak ne çatırdı?
Modern bir akıllı telefon türü ne olursa olsun -bir Android cihazı, iPhone veya BlackBerry olsun- tüm telefonlarda ortak bir özellik var: güç kaynağı ve veri akışı aynı kablo üzerinden geçiyor.İster standart USB miniB bağlantısını veya Apple'ın özel kablolarını kullanıyor olun, aynı durumdadır: Telefonunuzdaki pili şarj etmek için kullanılan kablo, verilerinizi aktarmak ve senkronize etmek için kullandığınız kabloyla aynıdır.
Aynı kablo üzerindeki bu kurulum, veri / güç, kötü niyetli bir kullanıcının şarj işlemi sırasında telefonunuza erişebilmesi için bir yaklaşım vektörü sunar;telefonun verisine gayri meşru olarak erişmek için USB veri / güç kablosunu kullanarak ve / veya zararlı kodları cihaza enjekte etmek, Meyve Sıkışması olarak bilinir.
Saldırı gizlilik istilası kadar basit olabilir, telefonunuz şarj kioskunda gizlenmiş bir bilgisayarla eşleşir ve özel fotoğraflar ve iletişim bilgileri gibi bilgiler kötü amaçlı cihaza aktarılır. Saldırı, kötü amaçlı kodların cihazınıza doğrudan aktarılması kadar invaziv olabilir. Bu yılki BlackHat güvenlik konferansında güvenlik araştırmacıları Billy Lau, YeongJin Jang ve Chengyu Song, "MACTANS: Kötü Amaçlı Şarj Aletleri ile Kötü Amaçlı Cihazları IOS Cihazlarına Enjekte" ve bunlardan bir sunum özetini sunuyor:
Bu sunumda,kötü amaçlı bir şarj cihazına takıldığında bir IOS cihazının bir dakika içinde nasıl tehlikeye atıldığı.Önce Apple'ın mevcut güvenlik mekanizmalarını keyfi yazılım yüklemesine karşı korumak için inceledik ve USB özelliklerinin bu savunma mekanizmalarını atlamak için nasıl kullanıldıklarını açıkladık. Ortaya çıkan enfeksiyonun sürekliliğini sağlamak için bir saldırganın yazılımlarını, dahili uygulamalarını gizlemesi gibi nasıl gizleyebileceğini gösteriyoruz.
Bu güvenlik açıklarının pratik bir şekilde uygulanmasını göstermek için, bir BeagleBoard kullanarak Mactans adı verilen, kötü niyetli bir şarj cihazı kanıtı hazırladık. Bu donanım masum görünümlü, kötü amaçlı USB şarj cihazlarının kurulum kolaylığını göstermek için seçildi. Mactans, sınırlı miktarda zaman ve küçük bütçeyle inşa edilmiş olsa da, kısaca daha motive edilmiş, iyi fonlanmış düşmanların başarabileceğini düşünüyoruz.
Ucuz hazır raf donanımını ve göze çarpan bir güvenlik açığını kullanarak, Apple, bu türden şeyleri önlemek için koyduğu çok sayıda güvenlik önlemine rağmen, bir saniyeden kısa sürede mevcut nesil iOS cihazlarına erişebildi.
Bununla birlikte, bu tür bir istismar, güvenlik radarında yeni bir patlama değildir.İki yıl önce 2011 DEF CON güvenlik konferansında, Aires Security, Brian Markus, Joseph Mlodzianowski ve Robert Rowley'den araştırmacılar, meyve suyu alımının tehlikelerini açıkça gösterecek bir şarj kiosk kurdular ve halkı telefonlarının ne kadar hassas olduğu konusunda uyarıyorlarbir kiosk ile bağlantılı - yukarıdaki resim, kötü niyetli kiosk içine girdikten sonra kullanıcılara gösterildi. Veri eşleştirmemeleri veya paylaşmamaları talimatı verilen cihazlar bile, hala Aires Security kiosk'u aracılığıyla sık sık tehlikeye düşmüştü.
Kötü niyetli bir kioska maruz kalmanın, derhal kötü amaçlı kod püskürtülmeden bile kalan bir güvenlik sorunu yaratması daha da rahatsız edicidir. Konuyla ilgili yakın tarihli bir makalede, güvenlik araştırmacısı Jonathan Zdziarski, kiosk ile artık iletişim kurmadığınız halde, iOS eşleştirme güvenlik açığı konusunun altını çiziyor ve kötü niyetli kullanıcıların cihazınıza bir pencere açmasını istiyor:
Eşleştirmenin iPhone'unuzda veya iPad'inizde nasıl çalıştığını bilmiyorsanız, bu, masaüstünüzün cihazınızla güvenilir bir ilişki kurduğu mekanizmasıdır; böylece iTunes, Xcode veya diğer araçlar onunla konuşabilir. Bir masaüstü bilgisayarı eşleştirildiğinde, adres defteri, notlar, fotoğraflar, müzik koleksiyonu, sms veritabanı, yazarak önbellek gibi cihazdaki bir dizi kişisel bilgiye erişebilir ve telefonun tam bir yedeklenmesini bile başlatabilir. Bir cihaz eşleştirildikten sonra, WiFi senkronizasyonunun açık olup olmamasına bakılmaksızın, bunların hepsine ve daha fazlasına istediğiniz zaman kablosuz olarak erişebilirsiniz. Bir eşleştirme, dosya sisteminin ömrü boyunca sürer; diğer bir makineyle iPhone'unuz veya iPad'iniz eşleştirildiğinde, eşleştirme ilişkisi, telefonu fabrika ayarlarına döndürene kadar sürer.
Bu mekanizma, iOS cihazınızı ağrısız ve keyifli hale getirmek için tasarlanmıştır ve aslında acı verici bir durum oluşturabilir: iPhone'unuzu yeni şarj ettiğiniz kiosk, teorik olarak iOS cihazınıza bir Wi-Fi göbek kordonu düzenleyerek dahi erişmeye devam edebilirsiniztelefonunuzu çıkardıktan ve Angry Birds'in( ya da kırk) oynamak için yakınlardaki bir havaalanı şezlonguna düştükten sonra.
Ne kadar Endişelenmeli?
Burada How-To Geek'te alarm verici bir şey değiliz ve size her zaman bunu düz veriyoruz: şu anda meyve suyu kriketi büyük ölçüde teorik bir tehdittir ve yerel hava limanındaki kioskdaki USB şarj portlarının aslında birbir veri sifonlama ve zararlı yazılım enjekte etme bilgisayarının gizli cephesi çok düşüktür. Bununla birlikte, omuzlarınızı silkelemek ve akıllı telefonunuzu veya tabletinizi bilinmeyen bir cihaza takmanın gerçek güvenlik riskini derhal unutmanız gerektiği anlamına gelmez.
Birkaç yıl önce, Firefox eklentisi Firesheep güvenlik çevrelerindeki şehrin konuşmasıydı, kullanıcıların diğer kullanıcıların web servisi kullanıcı oturumlarını kaçırmalarına izin veren basit bir tarayıcı eklentisinin tam teorik ama hala gerçek bir tehdidi idi.önemli değişikliklere neden olan yerel Wi-Fi düğümü.Son kullanıcılar göz atma oturumu güvenliğini daha ciddiye almaya başladılar( evde İnternet bağlantılarını tünel açma veya VPN'lere bağlanma gibi teknikler kullanılarak) ve büyük internet şirketleri büyük güvenlik değişikliği yaptı( yalnızca oturum açma değil tüm tarayıcı oturumunu şifrelemek gibi).
Tam da bu şekilde, kullanıcıların meyve suyu sıkma tehdidinin farkında olmaları hem insanların suyun altına alınma şansını azaltıyor hem de güvenlik uygulamalarını daha iyi yönetmeleri için şirketler üzerindeki baskıyı arttırıyor( örneğin, iOS cihazınızın o kadar kolay çiftleşiyor olması harikave kullanıcı deneyiminizi sorunsuz yapar, ancak eşleştirilmiş cihazda% 100 güven ile ömür boyu eşleştirmenin etkileri oldukça ciddi).
Meyve Sıkışmasını Nasıl Önleyebilirim?
Her ne kadar suyu toplama, doğrudan telefon hırsızlığı veya tehlikeli indirmeler yoluyla kötü niyetli virüslere maruz kalma gibi yaygın bir tehdit değilse de, kişisel cihazlarınıza kötü amaçlı erişebilecek sistemlere maruz kalmaktan kaçınmak için yine de sağduyu önlemleri almalısınız. Exogear izniyle üretilmiştir.
En belirgin tedbirler, telefonunuzu üçüncü parti bir sistem kullanarak şarj etmenin gereksiz kılınması etrafında toplanmıştır:
Cihazlarınızı Üstün Tutun: En belirgin önlem, mobil cihazınızı şarjlı tutmaktır. Telefonunuzu aktif olarak kullanmadığınız ya da masanızın üzerinde çalışırken evde ve işyerinizde şarj etmeyi alışkanlık haline getirin. Seyahat ederken veya evden uzaktayken kendinizi kırmızı bir% 3 pil barına bakan daha az zaman, o kadar iyi.
Kişisel Şarj Aleti Taşınması: Şarj cihazları çok küçük ve hafif olduğundan, taktığı gerçek USB kablosundan daha az ağırlığı vardır.Çantanıza bir şarj cihazı atın, böylece kendi telefonunuzu şarj edebilir ve veri bağlantı noktasını kontrol edebilirsiniz.
Bir Yedek Pil Taşıma: Tam yedek bir pil( pili fiziksel olarak takas etmenize izin veren cihazlar için) veya harici yedek pil( bu küçük 2600mAh gibi) taşımak isteyip istemediğinize bakılmaksızın,bir kiosk veya duvar prizine bağlayın.
Telefonunuzda tam bir pil bulundurulmasını sağlamanın yanı sıra, kullanabileceğiniz ek yazılım teknikleri de bulunmaktadır( hayal edebileceğiniz gibi bunlar idealden daha azdır ve sürekli olarak gelişen güvenlik uyarıları silah yarışında verilen garanti edilmez).Bu nedenle, bu tekniklerden herhangi birini gerçek anlamda etkili olarak onaylayamayız, ancak hiçbir şey yapmamaktan kesinlikle daha etkilidirler.
Telefonunuzu Kilitleme: Telefonunuz bir PIN veya eşdeğer bir şifre girilmeden kilitlendiğinde ve kilitlenip erişilemediğinde, telefonunuz bağlı olduğu cihazla eşleştirilmemelidir.iOS cihazları yalnızca kilidi açıldığında eşleştirilir; daha önce vurguladığımız gibi eşleştirme saniyeler içinde gerçekleşir, böylece telefonun gerçekten kilitlendiğinden emin olabilirsiniz.
Telefonu Güçlendirin: Bu teknik, telefon modeli temelinde yalnızca bir telefon modelinde çalışır; bazı telefonlar, kapalı olmasına rağmen hala tüm USB devresinde güç sağlar ve cihazdaki flaş depolama birimine erişime izin verir.
Eşleştirmeyi Devre Dışı Bırakma( yalnızca Jailbroken iOS Cihazları): Yazıda daha önce bahsedilen Jonathan Zdziarski, jailbroken iOS cihazları için son kullanıcının cihazın eşleme davranışını kontrol etmesini sağlayan küçük bir uygulama yayınladı.Uygulamasını, PairLock'u Cydia Store'da ve burada bulabilirsiniz.
Kullanabileceğiniz son bir tekniktir, etkili fakat uygun olmayan, veri kablolarının çıkarılmış veya kısa devre edilmiş olduğu bir USB kablosu kullanmaktır."Yalnızca güç" kabloları olarak satılan bu kablolar, veri aktarımı için gerekli olan iki kabloyu eksiktir ve güç iletimi için yalnızca iki kabloya sahiptir. Bununla birlikte, böyle bir kablo kullanmanın sakıncalarından biri, cihazınızla iletişim kurmak ve cihazın uygun bir maksimum aktarım eşiğini ayarlamak için( bu iletişim yoksa şarj cihazı varsayılan olarak) modern şarj cihazlarının veri kanallarını kullanması nedeniyle cihazınızın genellikle daha yavaş şarj olmasıdıren düşük güvenli eşik).
Sonuçta, güvenliği ihlal edilmiş bir mobil cihaza karşı en iyi savunma bilinci oluşturur. Cihazınızı şarj edilmiş olarak tutun, işletim sistemi tarafından sağlanan güvenlik özelliklerini etkinleştirin( kusursuz olmadıklarını ve her güvenlik sisteminin kullanılabileceğini bilerek) ve eklentilerini açmayı akıllıca bir şekilde önlediğiniz gibi telefonunuzu bilinmeyen şarj istasyonlarına ve bilgisayarlara takmayınbilinmeyen gönderenlerden.