I disse dager har flyplasser, hurtigmatrestauranter og til og med busser USB-ladestasjoner. Men er disse offentlige havnene trygge? Hvis du bruker en, kan telefonen eller nettbrettet ditt bli hacket? Vi sjekket det ut!
Innholdsfortegnelse
Noen eksperter har slått alarm
Noen eksperter mener du bør være bekymret hvis du har brukt en offentlig USB-ladestasjon. Tidligere i år har forskere fra IBMs eliteteam for penetrasjonstesting, X-Force Red, utstedt alvorlige advarsler om risiko knyttet til offentlige ladestasjoner.
«Å koble til en offentlig USB-port er på en måte som å finne en tannbørste ved siden av veien og bestemme seg for å stikke den i munnen,» sa Caleb Barlow, visepresident for trusseletterretning ved X-Force Red. «Du aner ikke hvor den tingen har vært.»
Barlow påpeker at USB-porter ikke bare formidler strøm, de overfører også data mellom enheter.
Moderne enheter gir deg kontroll. De er ikke ment å godta data fra en USB-port uten din tillatelse – det er derfor «Stol på denne datamaskinen?» ledetekst finnes på iPhones. Et sikkerhetshull tilbyr imidlertid en vei rundt denne beskyttelsen. Det er ikke sant hvis du bare kobler en pålitelig kraftkloss til en standard elektrisk port. Med en offentlig USB-port er du imidlertid avhengig av en tilkobling som kan bære data.
Med litt teknologisk list er det mulig å bevæpne en USB-port og skyve skadevare til en tilkoblet telefon. Dette gjelder spesielt hvis enheten kjører Android eller en eldre versjon av iOS, og derfor er bak på sikkerhetsoppdateringene.
Det hele høres skummelt ut, men er disse advarslene basert på bekymringer fra det virkelige livet? Jeg gravde dypere for å finne ut.
Fra teori til praksis
Så, er USB-baserte angrep mot mobile enheter rent teoretiske? Svaret er et entydig nei.
Sikkerhetsforskere har lenge sett på ladestasjoner som en potensiell angrepsvektor. I 2011, veteran infosec journalist, Brian Krebs, enda laget begrepet «juice jacking» å beskrive utnyttelser som utnytter det. Ettersom mobile enheter har gått mot masseadopsjon, har mange forskere fokusert på denne ene fasetten.
I 2011, utplasserte Wall of Sheep, en utkantbegivenhet på Defcons sikkerhetskonferanse, ladestander som, når de ble brukt, skapte en pop-up på enheten som advarte om farene ved å koble til enheter som ikke er pålitelige.
To år senere, på Blackhat USA-arrangementet, forskere fra Georgia Tech demonstrerte et verktøy som kan maskere seg som en ladestasjon og installere skadelig programvare på en enhet som kjører den nyeste versjonen av iOS.
Jeg kunne fortsette, men du skjønner. Det mest relevante spørsmålet er om oppdagelsen av «Juice Jacking» har blitt oversatt til angrep fra den virkelige verden. Det er her ting blir litt grumsete.
Forstå risikoen
Til tross for at «juice jacking» er et populært fokusområde for sikkerhetsforskere, er det knapt dokumenterte eksempler på at angripere har våpen tilnærmingen. Det meste av mediedekningen fokuserer på proof-of-concept fra forskere som jobber for institusjoner, som universiteter og informasjonssikkerhetsfirmaer. Mest sannsynlig er dette fordi det er iboende vanskelig å bevæpne en offentlig ladestasjon.
For å hacke en offentlig ladestasjon, må angriperen skaffe spesifikk maskinvare (som en miniatyrdatamaskin for å distribuere skadelig programvare) og installere den uten å bli fanget. Prøv å gjøre det på en travel internasjonal flyplass, hvor passasjerer er under intens gransking, og sikkerheten konfiskerer verktøy, som skrutrekkere, ved innsjekking. Kostnaden og risikoen gjør juicejacking fundamentalt dårlig egnet for angrep rettet mot allmennheten.
Det er også argumentet om at disse angrepene er relativt ineffektive. De kan bare infisere enheter som er koblet til en ladekontakt. Videre er de ofte avhengige av sikkerhetshull som produsenter av mobile operativsystemer, som Apple og Google, jevnlig retter.
Realistisk sett, hvis en hacker tukler med en offentlig ladestasjon, er det sannsynligvis en del av et målrettet angrep mot en person med høy verdi, ikke en pendler som trenger å ta noen batteriprosentpoeng på vei til jobb.
Sikkerhet først
Det er ikke hensikten med denne artikkelen å bagatellisere sikkerhetsrisikoen mobilenheter utgjør. Smarttelefoner brukes noen ganger til å spre skadelig programvare. Det har også vært tilfeller av telefoner som har blitt infisert mens de er koblet til en datamaskin som inneholder skadelig programvare.
I en Reuters-artikkel fra 2016 sa Mikko Hypponen, som faktisk er det offentlige ansiktet til F-Secure, beskrev en spesielt skadelig stamme av Android-skadevare som påvirket en europeisk flyprodusent.
«Hypponen sa at han nylig hadde snakket med en europeisk flyprodusent som sa at den renser cockpitene på flyene hver uke for skadelig programvare designet for Android-telefoner. Skadevaren spredte seg til flyene bare fordi fabrikkansatte ladet telefonene sine med USB-porten i cockpiten, heter det i artikkelen.
«Fordi flyet kjører et annet operativsystem, ville ingenting ramme det. Men det ville overføre viruset til andre enheter som er koblet til laderen.»
Du kjøper boligforsikring ikke fordi du forventer at huset ditt skal brenne ned, men fordi du må planlegge for det verste tilfellet. På samme måte bør du ta fornuftige forholdsregler når du bruker datamaskinens ladestasjoner. Når det er mulig, bruk en standard stikkontakt i stedet for en USB-port. Ellers bør du vurdere å lade et bærbart batteri i stedet for enheten din. Du kan også koble til et bærbart batteri og lade telefonen fra den mens den lades. Med andre ord, når det er mulig, unngå å koble telefonen direkte til offentlige USB-porter.
Selv om det er liten dokumentert risiko, er det alltid bedre å være trygg enn å beklage. Som en generell regel bør du unngå å koble tingene dine til USB-porter du ikke stoler på.