Колико су безбедне јавне станице за пуњење?

У данашње време, аеродроми, ресторани брзе хране, па чак и аутобуси нуде УСБ станице за пуњење. Питање је, колико су ови јавни прикључци безбедни? Да ли употребом истих ризикујемо хаковање телефона или таблета? Истражили смо!

Стручњаци упозоравају на ризик

Поједини стручњаци изражавају забринутост у вези са коришћењем јавних УСБ станица за пуњење. Раније током године, истраживачи из ИБМ-овог тима за тестирање безбедности, Кс-Форце Ред, издали су упозорења на потенцијалне опасности које проистичу из коришћења ових станица.

„Укључивање у јавни УСБ порт је попут коришћења пронађене четкице за зубе на улици“, изјавио је Кејлеб Барлоу, потпредседник за обавештавање о претњама у компанији Кс-Форце Ред. „Не можете знати где је тај уређај претходно био.“

Барлоу објашњава да УСБ портови не служе само за пуњење, већ и за пренос података између уређаја.

Савремени уређаји пружају кориснику контролу. Они не би требало да примају податке са УСБ порта без вашег пристанка – зато на иПхоне уређајима постоји промпт „Веровати овом рачунару?“. Међутим, постоји сигурносни пропуст који омогућава заобилажење ове заштите. Ово се не дешава када прикључите поуздани пуњач у стандардну утичницу. Код јавних УСБ портова, међутим, ослањате се на везу која може да преноси податке.

Уз мало техничке вештине, могуће је наоружати УСБ порт и инсталирати малвер на повезани телефон. Ово је посебно могуће ако уређај користи Андроид или старију верзију иОС-а и због тога не поседује најновије безбедносне исправке.

Све ово звучи застрашујуће, али да ли су ове претње реалне? Истражили смо дубље да то сазнамо.

Од теорије до стварности

Да ли су напади на мобилне уређаје путем УСБ-а само теорија? Одговор је дефинитивно не.

Стручњаци за безбедност одавно сматрају станице за пуњење потенцијалним вектором напада. Још 2011. године, новинар специјализован за безбедност, Брајан Кребс, смислио је термин „јуице џекинг“ да опише нападе који користе ову технику. Како је употреба мобилних уређаја постајала све распрострањенија, многи истраживачи су се фокусирали на овај аспект.

У 2011, током конференције „Зид оваца“ у оквиру безбедносне конференције Дефцон, постављене су станице за пуњење које су, приликом употребе, приказивале искачући прозор на уређају, упозоравајући на опасност повезивања на непоуздане уређаје.

Две године касније, на догађају Блацкхат УСА, истраживачи са Џорџија Теха су демонстрирали алат који се могао прерушити у станицу за пуњење и инсталирати малвер на уређај који користи тада најновију верзију иОС-а.

Могли бисмо наставити са примерима, али поента је јасна. Најважније питање је, да ли је „јуице џекинг“ постао стварна претња у пракси? Ту ствари постају мало нејасне.

Разумевање ризика

Упркос популарности „јуице џекинга“ међу истраживачима безбедности, забележено је врло мало конкретних случајева напада овим путем. Највећи део извештавања у медијима фокусира се на теоријске доказе истраживача из институција попут универзитета и компанија за информациону безбедност. Разлог томе је највероватније тешкоћа у манипулацији јавним станицама за пуњење.

За хаковање јавне станице за пуњење, нападач би морао да набави одговарајући хардвер (попут минијатурног рачунара за инсталирање малвера) и да га инсталира а да не буде откривен. Покушајте то на прометном међународном аеродрому, где су путници под строгим надзором, а обезбеђење одузима алат попут шрафцигера током чекирања. Цена и ризик чине јуице џекинг непогодним за масовне нападе.

Такође, ови напади су релативно неефикасни. Они могу да заразе само уређаје који су укључени у утичницу за пуњење. Поред тога, често се ослањају на безбедносне пропусте које произвођачи мобилних оперативних система, као што су Аппле и Гоогле, редовно крпе.

Реално, ако хакер манипулише јавном станицом за пуњење, то је вероватно део циљаног напада на особу од високог значаја, а не на обичног путника који треба да напуни батерију док путује на посао.

Безбедност на првом месту

Циљ овог чланка није да умањи безбедносне ризике које представљају мобилни уређаји. Паметни телефони се повремено користе за ширење малвера. Такође је било случајева да су телефони заражени током повезивања са рачунаром који је заражен малвером.

У чланку Ројтерса из 2016, Мико Хипонен, стручњак за безбедност у Ф-Сецуре-у, описао је посебно опасан сој Андроид малвера који је угрозио европског произвођача авиона.

„Хипонен је изјавио да је недавно разговарао са представником европског произвођача авиона, који му је рекао да сваке недеље чисте пилотске кабине својих авиона од малвера који циља Андроид телефоне. Малвер је доспео у авионе када су запослени у фабрици пунили телефоне преко УСБ порта у кабини,“ наводи се у чланку.

„Пошто авион користи други оперативни систем, вирус му није могао наудити, али је пренет на друге уређаје који су прикључени на пуњач.“

Купујете осигурање куће не зато што очекујете пожар, већ да бисте били спремни за најгори могући сценарио. Исто тако, треба да предузмете разумне мере предострожности приликом коришћења станица за пуњење. Кад год је могуће, користите стандардну зидну утичницу уместо УСБ порта. У супротном, размислите о пуњењу преносне батерије уместо телефона. Такође можете повезати преносну батерију и пунити телефон преко ње док се она пуни. Другим речима, кад год је то могуће, избегавајте директно повезивање телефона са јавним УСБ портовима.

Иако је ризик мали, увек је боље бити опрезан него жалити. Као опште правило, избегавајте повезивање својих уређаја на УСБ портове у које немате поверења.