Сьогодні практично скрізь можна зустріти USB-порти для зарядки – в аеропортах, закладах швидкого харчування і навіть у громадському транспорті. Але чи дійсно вони такі безпечні, як здається? Чи може використання таких публічних портів призвести до зламу вашого телефону або планшета? Давайте розберемось у цьому питанні.
Чи є підстави для занепокоєння?
Деякі експерти висловлюють серйозні побоювання щодо використання загальнодоступних USB-портів для зарядки. На початку поточного року дослідницька група IBM X-Force Red, що спеціалізується на тестуванні на проникнення, попередила про потенційні ризики, пов’язані з використанням таких зарядних станцій.
Калеб Барлоу, віце-президент X-Force Red, порівняв використання публічного USB-порту з ситуацією, коли ви знайшли зубну щітку на вулиці і вирішили б скористатися нею. “Ви абсолютно не знаєте, де ця річ була і що з нею відбувалося”, – зазначив він.
Справа в тому, що USB-порти не лише передають живлення, але й можуть обмінюватися даними між підключеними пристроями. Сучасні смартфони та планшети надають користувачам певний контроль над процесом обміну даними. Наприклад, при підключенні до комп’ютера, ваш iPhone запитує підтвердження “Довіряти цьому комп’ютеру?”. Однак, якщо в системі є вразливості, зловмисники можуть обійти ці заходи безпеки. При використанні звичайного блоку живлення, який під’єднується до розетки, таких ризиків немає. Але, коли ви підключаєте свій пристрій до публічного USB-порту, ви довіряєте з’єднанню, яке може передавати дані, а не лише живлення.
Зловмисники, використовуючи певні технічні прийоми, можуть скористатися USB-портом для передачі шкідливого програмного забезпечення на ваш пристрій. Особливо це актуально для пристроїв на Android або старих версіях iOS, які не мають останніх оновлень безпеки.
Звучить досить тривожно, чи не так? Але наскільки ці побоювання обґрунтовані?
Реальність загроз
Чи є атаки на мобільні пристрої через USB-порти лише теоретичною можливістю? Насправді, ні. Фахівці з кібербезпеки вже давно розглядають зарядні станції як потенційний вектор для атак. Ще у 2011 році експерт з інфобезпеки Браян Кребс запровадив термін “juice jacking” для позначення таких експлойтів. Зі зростанням популярності мобільних пристроїв, ця тема ставала все більш актуальною.
У 2011 році на конференції з безпеки Defcon, в рамках додаткової події “Wall of Sheep”, були встановлені зарядні кабіни, які при підключенні пристрою виводили на екран попередження про потенційну небезпеку. Через два роки, на заході Blackhat USA, дослідники з Georgia Tech продемонстрували, як можна замаскувати зарядну станцію та встановити шкідливе ПЗ на пристрій з останньою на той час версією iOS.
Можна навести ще багато прикладів. Головне питання полягає в тому, чи були зафіксовані випадки реальних атак “juice jacking”. Ось тут ситуація стає трохи розмитою.
Аналіз ризиків
Хоча “juice jacking” є популярною темою для досліджень в галузі кібербезпеки, практично немає зафіксованих випадків використання цього методу зловмисниками. Більшість інформації стосується концептуальних досліджень, проведених в університетах та компаніях, що спеціалізуються на інформаційній безпеці. Однією з причин цього є складність у підготовці та реалізації подібних атак на публічних зарядних станціях.
Щоб зламати таку станцію, зловмиснику потрібно придбати відповідне обладнання (наприклад, міні-комп’ютер для розповсюдження шкідливого ПЗ) та непомітно його встановити. Спробуйте зробити це у великому міжнародному аеропорту, де пасажири перебувають під наглядом, а охорона вилучає інструменти, такі як викрутки, під час перевірки безпеки. Вартість та ризик роблять цей метод атаки не дуже привабливим для масових зловмисників.
Крім того, такі атаки не є дуже ефективними, оскільки заразити можна лише пристрої, які безпосередньо підключені до зараженої зарядної розетки. Також, зловмисники часто залежать від вразливостей, які виробники мобільних ОС, такі як Apple та Google, регулярно виправляють. Якщо хакер все ж зламав публічну зарядну станцію, то, скоріше за все, це частина цілеспрямованої атаки на конкретну важливу особу, а не звичайного пасажира, який хоче підзарядити свій телефон.
Запобіжні заходи
Ця стаття не має на меті знецінювати ризики, пов’язані з використанням мобільних пристроїв. Смартфони дійсно можуть бути використані для розповсюдження шкідливого програмного забезпечення. Були випадки, коли телефони заражалися при підключенні до комп’ютера, який містив вірус.
У статті Reuters 2016 року Мікко Гіппонен, відомий експерт з F-Secure, розповів про випадок з шкідливим ПЗ на Android, яке потрапило до європейського авіавиробника. Згідно зі статтею, “працівники заводу заряджали свої телефони через USB-порт в кабіні літака. Зловмисне ПЗ поширилося на літаки, хоча на самі літаки не вплинуло через іншу операційну систему. Проте, вірус передавався на інші пристрої, що підключалися до того ж зарядного пристрою.”
Подібно до того, як ви купуєте страхування будинку, не очікуючи, що він згорить, ви повинні вживати запобіжних заходів при використанні публічних зарядних станцій. Надавайте перевагу стандартним розеткам, а не USB-портам. За можливості, заряджайте портативний акумулятор, а не безпосередньо ваш пристрій. Також можна підключити портативний акумулятор до публічного USB-порту, а потім вже заряджати телефон від нього. Тобто, намагайтесь уникати прямого підключення вашого телефону до загальнодоступних USB-портів.
Хоча задокументовані ризики є незначними, краще перестрахуватися, ніж потім шкодувати. Загальне правило: не підключайте свої пристрої до USB-портів, яким ви не довіряєте.