Αυτές τις μέρες, αεροδρόμια, εστιατόρια γρήγορου φαγητού, ακόμη και λεωφορεία διαθέτουν σταθμούς φόρτισης USB. Είναι όμως ασφαλή αυτά τα δημόσια λιμάνια; Εάν χρησιμοποιείτε ένα, θα μπορούσε να παραβιαστεί το τηλέφωνο ή το tablet σας; Το τσεκάραμε!
Πίνακας περιεχομένων
Ορισμένοι ειδικοί έχουν σημάνει συναγερμό
Ορισμένοι ειδικοί πιστεύουν ότι θα πρέπει να ανησυχείτε εάν έχετε χρησιμοποιήσει δημόσιο σταθμό φόρτισης USB. Νωρίτερα φέτος, ερευνητές από την ελίτ ομάδα δοκιμών διείσδυσης της IBM, X-Force Red, εξέδωσε τρομερές προειδοποιήσεις σχετικά με τους κινδύνους που συνδέονται με τους δημόσιους σταθμούς φόρτισης.
«Η σύνδεση σε μια δημόσια θύρα USB είναι σαν να βρίσκεις μια οδοντόβουρτσα στην άκρη του δρόμου και να αποφασίζεις να την κολλήσεις στο στόμα σου», δήλωσε ο Caleb Barlow, αντιπρόεδρος της υπηρεσίας πληροφοριών απειλών στο X-Force Red. «Δεν έχεις ιδέα πού ήταν αυτό το πράγμα».
Ο Barlow επισημαίνει ότι οι θύρες USB δεν μεταφέρουν απλώς ισχύ, αλλά μεταφέρουν επίσης δεδομένα μεταξύ συσκευών.
Οι σύγχρονες συσκευές σας δίνουν τον έλεγχο. Δεν υποτίθεται ότι δέχονται δεδομένα από μια θύρα USB χωρίς την άδειά σας—γι’ αυτό το “Trust This Computer?” υπάρχει ερώτηση στα iPhone. Ωστόσο, μια τρύπα ασφαλείας προσφέρει έναν τρόπο να παρακάμψει αυτή την προστασία. Αυτό δεν είναι αλήθεια εάν απλώς συνδέσετε ένα αξιόπιστο ηλεκτρικό τούβλο σε μια τυπική ηλεκτρική θύρα. Με μια δημόσια θύρα USB, ωστόσο, βασίζεστε σε μια σύνδεση που μπορεί να μεταφέρει δεδομένα.
Με λίγη τεχνολογική πονηριά, είναι δυνατό να οπλίσετε μια θύρα USB και να προωθήσετε κακόβουλο λογισμικό σε ένα συνδεδεμένο τηλέφωνο. Αυτό ισχύει ιδιαίτερα εάν η συσκευή τρέχει Android ή μια παλαιότερη έκδοση του iOS και, ως εκ τούτου, υστερεί στις ενημερώσεις ασφαλείας της.
Όλα ακούγονται τρομακτικά, αλλά αυτές οι προειδοποιήσεις βασίζονται σε ανησυχίες της πραγματικής ζωής; Έσκαψα πιο βαθιά για να μάθω.
Από τη Θεωρία στην Πράξη
Λοιπόν, οι επιθέσεις που βασίζονται σε USB κατά κινητών συσκευών είναι καθαρά θεωρητικές; Η απάντηση είναι ένα ξεκάθαρο όχι.
Οι ερευνητές ασφαλείας θεωρούσαν εδώ και καιρό τους σταθμούς φόρτισης ως πιθανό φορέα επίθεσης. Το 2011, ο βετεράνος δημοσιογράφος της infosec, Brian Krebs, ακόμη επινόησε τον όρο “juice jacking” να περιγράψει εκμεταλλεύσεις που το εκμεταλλεύονται. Καθώς οι κινητές συσκευές έχουν προχωρήσει προς τη μαζική υιοθέτηση, πολλοί ερευνητές έχουν επικεντρωθεί σε αυτή τη μία πτυχή.
Το 2011, το Wall of Sheep, ένα περιθωριακό γεγονός στο συνέδριο ασφαλείας Defcon, ανέπτυξε θαλάμους φόρτισης που, όταν χρησιμοποιήθηκαν, δημιούργησαν ένα αναδυόμενο παράθυρο στη συσκευή που προειδοποιούσε για τους κινδύνους από τη σύνδεση σε μη αξιόπιστες συσκευές.
Δύο χρόνια αργότερα, στην εκδήλωση Blackhat USA, ερευνητές από την Georgia Tech παρουσίασαν ένα εργαλείο που θα μπορούσε να μεταμφιεστεί ως σταθμός φόρτισης και να εγκαταστήσει κακόβουλο λογισμικό σε μια συσκευή που εκτελούσε την πιο πρόσφατη τότε έκδοση του iOS.
Θα μπορούσα να συνεχίσω, αλλά καταλαβαίνετε. Το πιο σημαντικό ερώτημα είναι αν η ανακάλυψη του «Juice Jacking» μεταφράστηκε σε πραγματικές επιθέσεις. Εδώ είναι που τα πράγματα γίνονται λίγο θολά.
Κατανόηση του κινδύνου
Παρά το γεγονός ότι το “juice jacking” είναι ένας δημοφιλής τομέας εστίασης για τους ερευνητές ασφάλειας, δεν υπάρχουν σχεδόν καθόλου τεκμηριωμένα παραδείγματα επιτιθέμενων που χρησιμοποιούν όπλα την προσέγγιση. Το μεγαλύτερο μέρος της κάλυψης των μέσων ενημέρωσης επικεντρώνεται σε αποδείξεις ιδέας από ερευνητές που εργάζονται για ιδρύματα, όπως πανεπιστήμια και εταιρείες ασφάλειας πληροφοριών. Πιθανότατα, αυτό συμβαίνει επειδή είναι εγγενώς δύσκολο να οπλίσεις έναν δημόσιο σταθμό φόρτισης.
Για να χακάρει έναν δημόσιο σταθμό φόρτισης, ο εισβολέας θα πρέπει να αποκτήσει συγκεκριμένο υλικό (όπως έναν μικροσκοπικό υπολογιστή για την ανάπτυξη κακόβουλου λογισμικού) και να το εγκαταστήσει χωρίς να συλληφθεί. Δοκιμάστε να το κάνετε αυτό σε ένα πολυσύχναστο διεθνές αεροδρόμιο, όπου οι επιβάτες βρίσκονται υπό έντονο έλεγχο και η ασφάλεια κατάσχει εργαλεία, όπως κατσαβίδια, κατά το check-in. Το κόστος και ο κίνδυνος καθιστούν το jacking χυμών ουσιαστικά ακατάλληλο για επιθέσεις που στοχεύουν στο ευρύ κοινό.
Υπάρχει επίσης το επιχείρημα ότι αυτές οι επιθέσεις είναι σχετικά αναποτελεσματικές. Μπορούν να μολύνουν μόνο συσκευές που είναι συνδεδεμένες σε πρίζα φόρτισης. Επιπλέον, συχνά βασίζονται σε κενά ασφαλείας που οι κατασκευαστές λειτουργικών συστημάτων κινητής τηλεφωνίας, όπως η Apple και η Google, επιδιορθώνουν τακτικά.
Ρεαλιστικά, εάν ένας χάκερ παραποιήσει έναν δημόσιο σταθμό φόρτισης, είναι πιθανό να είναι μέρος μιας στοχευμένης επίθεσης εναντίον ενός ατόμου υψηλής αξίας, όχι ενός επιβάτη που πρέπει να πιάσει μερικές ποσοστιαίες μονάδες μπαταρίας στο δρόμο του για δουλειά.
Πρώτα η ασφάλεια
Σκοπός αυτού του άρθρου δεν είναι να υποβαθμίσει τους κινδύνους ασφαλείας που ενέχουν οι κινητές συσκευές. Τα smartphone μερικές φορές χρησιμοποιούνται για τη διάδοση κακόβουλου λογισμικού. Υπήρξαν επίσης περιπτώσεις μόλυνσης τηλεφώνων κατά τη σύνδεση σε υπολογιστή που φιλοξενεί κακόβουλο λογισμικό.
Σε ένα άρθρο του Reuters το 2016, ο Mikko Hypponen, ο οποίος είναι ουσιαστικά το δημόσιο πρόσωπο της F-Secure, περιέγραψε ένα ιδιαίτερα καταστροφικό στέλεχος κακόβουλου λογισμικού Android που επηρέασε έναν ευρωπαϊκό κατασκευαστή αεροσκαφών.
«Ο Hypponen είπε ότι μίλησε πρόσφατα με μια ευρωπαϊκή εταιρεία κατασκευής αεροσκαφών που είπε ότι καθαρίζει τα πιλοτήρια των αεροπλάνων της κάθε εβδομάδα από κακόβουλο λογισμικό σχεδιασμένο για τηλέφωνα Android. Το κακόβουλο λογισμικό εξαπλώθηκε στα αεροπλάνα μόνο επειδή οι υπάλληλοι του εργοστασίου φόρτιζαν τα τηλέφωνά τους με τη θύρα USB στο πιλοτήριο», ανέφερε το άρθρο.
«Επειδή το αεροπλάνο τρέχει ένα διαφορετικό λειτουργικό σύστημα, τίποτα δεν θα του συμβεί. Αλλά θα περνούσε τον ιό σε άλλες συσκευές που συνδέονταν στον φορτιστή».
Αγοράζετε ασφάλιση σπιτιού όχι επειδή περιμένετε το σπίτι σας να καεί, αλλά επειδή πρέπει να σχεδιάσετε το χειρότερο σενάριο. Ομοίως, θα πρέπει να λαμβάνετε λογικές προφυλάξεις όταν χρησιμοποιείτε σταθμούς φόρτισης υπολογιστών. Όποτε είναι δυνατόν, χρησιμοποιήστε μια τυπική πρίζα τοίχου, αντί για μια θύρα USB. Διαφορετικά, σκεφτείτε να φορτίσετε μια φορητή μπαταρία και όχι τη συσκευή σας. Μπορείτε επίσης να συνδέσετε μια φορητή μπαταρία και να φορτίσετε το τηλέφωνό σας από αυτήν καθώς φορτίζει. Με άλλα λόγια, όποτε είναι δυνατόν, αποφύγετε τη σύνδεση του τηλεφώνου σας απευθείας σε οποιαδήποτε δημόσια θύρα USB.
Παρόλο που υπάρχει ελάχιστος τεκμηριωμένος κίνδυνος, είναι πάντα καλύτερο να είσαι ασφαλής παρά να λυπάσαι. Κατά γενικό κανόνα, αποφύγετε να συνδέσετε τα πράγματά σας σε θύρες USB που δεν εμπιστεύεστε.