Сьогодні аеропорти, ресторани швидкого харчування і навіть автобуси мають USB-зарядні станції. Але чи безпечні ці публічні порти? Якщо ви використовуєте його, чи може ваш телефон або планшет зламати? Ми це перевірили!
Деякі експерти забили тривогу
Деякі експерти вважають, що ви повинні бути стурбовані, якщо ви використовували загальнодоступну зарядну станцію USB. На початку цього року дослідники з елітної команди IBM із тестування на проникнення, X-Force Red, видали страшні попередження про ризики, пов’язані з державними зарядними станціями.
«Підключення до загальнодоступного USB-порту схоже на те, що знайти зубну щітку на узбіччі дороги і вирішити засунути її в рот», — сказав Калеб Барлоу, віце-президент із розвідки загроз у X-Force Red. «Ви поняття не маєте, де ця річ була».
Барлоу зазначає, що порти USB не просто передають живлення, вони також передають дані між пристроями.
Сучасні пристрої дають вам контроль. Вони не повинні приймати дані з USB-порту без вашого дозволу — ось чому «Довіряти цьому комп’ютеру?» підказка існує на iPhone. Однак діра в безпеці дає можливість обійти цей захист. Це неправда, якщо ви просто підключите надійний блок живлення до стандартного електричного порту. Однак із загальнодоступним портом USB ви покладаєтесь на з’єднання, яке може передавати дані.
Додавши трохи технологічної хитрості, можна використовувати USB-порт і перенести шкідливе програмне забезпечення на підключений телефон. Це особливо вірно, якщо пристрій працює під управлінням Android або старішої версії iOS, і тому він відстає від оновлень безпеки.
Все це звучить страшно, але чи ґрунтуються ці попередження на реальних побоюваннях? Я копнув глибше, щоб дізнатися.
Від теорії до практики
Отже, атаки на мобільні пристрої через USB є чисто теоретичними? Відповідь однозначна ні.
Дослідники безпеки вже давно розглядають зарядні станції як потенційний вектор атаки. У 2011 році навіть ветеран інфосекретарства Браян Кребс ввів термін «віджимання соку» щоб описати експлойти, які використовують це. Оскільки мобільні пристрої наближалися до масового впровадження, багато дослідників зосередилися на цьому аспекті.
У 2011 році Wall of Sheep, додаткова подія на конференції з безпеки Defcon, розгорнула зарядні кабіни, які при використанні створювали спливаюче вікно на пристрої, що попереджало про небезпеку підключення до ненадійних пристроїв.
Через два роки на заході Blackhat USA, дослідники з Georgia Tech продемонстрували інструмент яка могла б маскуватися під зарядну станцію та встановлювати шкідливе програмне забезпечення на пристрої з останньою на той час версією iOS.
Я міг би продовжити, але ви зрозуміли ідею. Найактуальнішим питанням є те, чи призвело відкриття «Juice Jacking» у реальні атаки. Ось тут все стає трохи туманним.
Розуміння ризику
Незважаючи на те, що «джекджекінг» є популярною сферою уваги дослідників безпеки, майже немає жодних задокументованих прикладів використання зловмисниками цього підходу. Більшість засобів масової інформації зосереджена на підтвердженні концепції від дослідників, які працюють в таких установах, як університети та фірми з інформаційної безпеки. Швидше за все, це пов’язано з тим, що за своєю суттю важко озброїти державну зарядну станцію.
Щоб зламати загальнодоступну зарядну станцію, зловмиснику потрібно було б отримати конкретне обладнання (наприклад, мініатюрний комп’ютер для розгортання шкідливого програмного забезпечення) і встановити його, не потрапляючи. Спробуйте зробити це в завантаженому міжнародному аеропорту, де пасажири перебувають під пильною увагою, а охорона конфіскує інструменти, як-от викрутки, під час реєстрації. Ціна та ризик роблять juice jacking принципово непридатним для атак, спрямованих на широку громадськість.
Є також аргумент, що ці атаки відносно неефективні. Вони можуть заразити лише пристрої, які підключені до зарядної розетки. Крім того, вони часто покладаються на прориви в безпеці, які виробники мобільних операційних систем, як-от Apple і Google, регулярно усувають.
Реально, якщо хакер втрутився в публічну зарядну станцію, це, швидше за все, є частиною цілеспрямованої атаки на цінну людину, а не на пасажира, якому потрібно отримати кілька відсоткових пунктів акумулятора по дорозі на роботу.
Безпека насамперед
Ця стаття не має на меті применшити ризики безпеки, які несуть мобільні пристрої. Смартфони іноді використовуються для поширення шкідливих програм. Також були випадки зараження телефонів під час підключення до комп’ютера, який містить шкідливе програмне забезпечення.
У статті Reuters 2016 року Мікко Гіппонен, який фактично є публічним обличчям F-Secure, описав особливо згубний штам шкідливого програмного забезпечення Android що вплинуло на європейського виробника літаків.
«Гіппонен сказав, що нещодавно спілкувався з європейським виробником літаків, який сказав, що щотижня очищає кабіни своїх літаків від шкідливих програм, розроблених для телефонів Android. Зловмисне програмне забезпечення поширилося на літаки лише тому, що працівники заводу заряджали свої телефони за допомогою USB-порту в кабіні», – йдеться у статті.
«Оскільки на літаку працює інша операційна система, з ним нічого не трапиться. Але він передасть вірус іншим пристроям, які підключаються до зарядного пристрою».
Ви купуєте страхування будинку не тому, що очікуєте, що ваш будинок згорить, а тому, що вам потрібно планувати найгірший сценарій. Аналогічно, ви повинні вживати розумних запобіжних заходів під час використання комп’ютерних зарядних станцій. По можливості використовуйте стандартну розетку, а не порт USB. В іншому випадку подумайте про заряджання портативного акумулятора, а не пристрою. Ви також можете підключити портативний акумулятор і заряджати телефон від нього під час заряджання. Іншими словами, по можливості уникайте підключення телефону безпосередньо до будь-яких загальнодоступних USB-портів.
Незважаючи на те, що документально підтверджений ризик невеликий, завжди краще перестрахуватися, ніж шкодувати. Як загальне правило, уникайте підключення своїх речей до USB-портів, яким ви не довіряєте.