Колико су безбедне јавне станице за пуњење?

Ових дана аеродроми, ресторани брзе хране, па чак и аутобуси имају УСБ станице за пуњење. Али да ли су ове јавне луке безбедне? Ако га користите, да ли би ваш телефон или таблет могао бити хакован? Проверили смо!

Неки стручњаци су огласили аларм

Неки стручњаци сматрају да бисте требали бити забринути ако сте користили јавну УСБ станицу за пуњење. Раније ове године, истраживачи из ИБМ-овог елитног тима за тестирање пенетрације, Кс-Форце Ред, издао страшна упозорења о ризицима повезаним са јавним станицама за пуњење.

„Укључивање у јавни УСБ порт је као да пронађете четкицу за зубе поред пута и одлучите да је гурнете у уста“, рекао је Кејлеб Барлоу, потпредседник за обавештавање претњи у компанији Кс-Форце Ред. „Немате појма где је та ствар била.“

Барлоу истиче да УСБ портови не преносе само снагу, већ и пренос података између уређаја.

Савремени уређаји вам дају контролу. Не би требало да прихватају податке са УСБ порта без ваше дозволе — зато је „Веровати овом рачунару?“ Промпт постоји на иПхоне уређајима. Међутим, сигурносна рупа нуди начин да заобиђете ову заштиту. То није тачно ако једноставно прикључите поуздану струјну циглу у стандардни електрични прикључак. Међутим, са јавним УСБ портом, ослањате се на везу која може да преноси податке.

Уз мало технолошке лукавости, могуће је оружити УСБ порт и гурнути малвер на повезани телефон. Ово је посебно тачно ако уређај користи Андроид или старију верзију иОС-а и стога заостаје за безбедносним ажурирањима.

  12 Ресурси за припрему испита за сертификацију Терраформ/Водич за учење

Све звучи застрашујуће, али да ли су ова упозорења заснована на стварним забринутостима? Копао сам дубље да сазнам.

Од теорије до праксе

Дакле, да ли су напади засновани на УСБ-у на мобилне уређаје чисто теоретски? Одговор је недвосмислен не.

Истраживачи безбедности дуго су сматрали станице за пуњење потенцијалним вектором напада. У 2011, ветеран инфосец новинар, Бриан Кребс, чак сковао термин „извлачење сока“ да опишем подвиге који то користе. Како су мобилни уређаји кренули ка масовном усвајању, многи истраживачи су се фокусирали на овај један аспект.

Године 2011. Зид оваца, рубни догађај на Дефцон безбедносној конференцији, поставио је кабине за пуњење које су, када су се користиле, створиле искачући прозор на уређају који је упозоравао на опасности прикључивања на непоуздане уређаје.

Две године касније, на Блацкхат УСА догађају, истраживачи са Георгиа Тецх демонстрирали су алат који би се могао маскирати као станица за пуњење и инсталирати злонамерни софтвер на уређај који користи тада најновију верзију иОС-а.

Могао бих да наставим, али схватате. Најважније питање је да ли се откриће „Јуице Јацкинг“ преточило у нападе у стварном свету. Овде ствари постају помало мутне.

Разумевање ризика

Упркос томе што је „јуице јацкинг“ популарна област фокуса истраживача безбедности, једва да постоје документовани примери нападача који користе овај приступ. Већина медијског извештавања фокусира се на доказе концепта од истраживача који раде за институције, као што су универзитети и фирме за безбедност информација. Највероватније је то зато што је инхерентно тешко опремити јавну станицу за пуњење.

  Како да креирате прилагођене пречице на тастатури за било коју Мац апликацију

Да би хаковао јавну станицу за пуњење, нападач би морао да набави одређени хардвер (као што је минијатурни рачунар за постављање малвера) и да га инсталира без да буде ухваћен. Покушајте то да урадите на ужурбаном међународном аеродрому, где су путници под интензивним надзором, а обезбеђење конфискује алате, попут шрафцигера, приликом пријаве. Цена и ризик чине јуице јацкинг суштински неприкладним за нападе усмерене на ширу јавност.

Постоји и аргумент да су ови напади релативно неефикасни. Они могу да заразе само уређаје који су укључени у утичницу за пуњење. Штавише, често се ослањају на безбедносне рупе које произвођачи мобилних оперативних система, као што су Аппле и Гоогле, редовно крпе.

Реално, ако хакер уђе у јавну станицу за пуњење, то је вероватно део циљаног напада на особу високе вредности, а не на путницу која треба да ухвати неколико процентних поена батерије на путу до посла.

Безбедност на првом месту

Није намера овог чланка да умањи безбедносне ризике које представљају мобилни уређаји. Паметни телефони се понекад користе за ширење злонамерног софтвера. Такође је било случајева да су телефони заражени док су повезани са рачунаром који садржи злонамерни софтвер.

У чланку Ројтерса из 2016, Микко Хипонен, који је заправо јавно лице Ф-Сецуре-а, описао посебно опасан сој Андроид малвера што је утицало на европског произвођача авиона.

„Хипонен је рекао да је недавно разговарао са европским произвођачем авиона који је рекао да сваке недеље чисти пилотске кабине својих авиона од малвера дизајнираног за Андроид телефоне. Малвер се проширио на авионе само зато што су запослени у фабрици пунили своје телефоне преко УСБ порта у кабини“, наводи се у чланку.

  Како набавити миксер за јачину звука за Цхроме картице

„Пошто авион користи другачији оперативни систем, ништа му се не би догодило. Али то би пренело вирус на друге уређаје који су прикључени на пуњач.

Купујете осигурање куће не зато што очекујете да ће вам кућа изгорети, већ зато што морате да планирате најгори сценарио. Слично томе, требало би да предузмете разумне мере предострожности када користите станице за пуњење рачунара. Кад год је могуће, користите стандардну зидну утичницу, а не УСБ порт. У супротном, размислите о пуњењу преносиве батерије, а не свог уређаја. Такође можете да повежете преносиву батерију и да пуните телефон из ње док се пуни. Другим речима, кад год је то могуће, избегавајте директно повезивање телефона са јавним УСБ портовима.

Иако постоји мало документованог ризика, увек је боље бити сигуран него жалити. Као опште правило, избегавајте да прикључујете своје ствари у УСБ портове у које немате поверења.