I dag finnes det USB-ladepunkter på mange steder, som flyplasser, hurtigmatrestauranter og til og med busser. Men hvor sikre er egentlig disse offentlige ladestasjonene? Er det en risiko for at telefonen eller nettbrettet ditt kan bli hacket hvis du benytter deg av dem? Vi har undersøkt dette nærmere!
Eksperter slår alarm
Enkelte eksperter mener det er grunn til bekymring dersom du har brukt en offentlig USB-ladestasjon. Tidligere i år publiserte forskere fra IBMs anerkjente penetrasjonstestingsteam, X-Force Red, alvorlige advarsler om farene ved å bruke slike ladepunkter.
Caleb Barlow, visepresident for trussel-etterretning hos X-Force Red, sammenligner det med å finne en tannbørste langs veien og putte den i munnen: «Du har ingen anelse om hvor den tingen har vært.» Han påpeker at USB-porter ikke bare overfører strøm, men også data mellom enheter.
Moderne enheter gir deg kontroll over dataoverføring. De er ikke laget for å akseptere data fra en USB-port uten ditt samtykke. Det er derfor du får spørsmålet «Stol på denne datamaskinen?» på iPhones. Et sikkerhetshull kan imidlertid omgå denne beskyttelsen. Dette problemet oppstår ikke hvis du bruker en pålitelig strømadapter i en vanlig stikkontakt. Men når du bruker en offentlig USB-port, er du avhengig av en tilkobling som potensielt kan overføre data.
Med litt teknologisk innsikt kan en USB-port rigges til å overføre skadelig programvare til en tilkoblet telefon. Dette gjelder særlig hvis enheten kjører Android eller en eldre versjon av iOS, og derfor ikke har de nyeste sikkerhetsoppdateringene.
Alt dette høres skremmende ut, men er disse advarslene basert på reelle hendelser? Vi har gått dypere for å finne svaret.
Fra teori til virkelighet
Er USB-baserte angrep mot mobile enheter bare teori? Svaret er et klart nei.
Sikkerhetsforskere har lenge sett på ladestasjoner som en potensiell angrepsvektor. I 2011 skapte den erfarne infosec-journalisten Brian Krebs begrepet «juice jacking» for å beskrive denne typen angrep. Etter hvert som mobile enheter har blitt stadig mer utbredt, har mange forskere fokusert på dette aspektet.
I 2011 arrangerte Wall of Sheep, et sidearrangement på sikkerhetskonferansen Defcon, ladestasjoner som viste en advarsel på skjermen til brukerens enhet om farene ved å koble til enheter som ikke er pålitelige.
To år senere demonstrerte forskere fra Georgia Tech under Blackhat USA-arrangementet et verktøy som kunne kamuflere seg som en ladestasjon og installere skadelig programvare på en enhet som kjørte den nyeste versjonen av iOS.
Vi kunne fortsatt med flere eksempler. Det viktigste spørsmålet er om «juice jacking» har blitt brukt i reelle angrep. Her blir bildet litt uklart.
Forstå risikoen
Selv om «juice jacking» er et populært tema for sikkerhetsforskere, finnes det få dokumenterte tilfeller av at hackere har benyttet seg av metoden. De fleste medieoppslagene handler om forskeres «proof-of-concept» fra universiteter og IT-sikkerhetsselskaper. Dette skyldes sannsynligvis at det er vanskelig å manipulere en offentlig ladestasjon.
For å hacke en offentlig ladestasjon må angriperen skaffe spesifikk maskinvare (som en liten datamaskin for å distribuere skadelig programvare) og installere den uten å bli oppdaget. Dette kan være vanskelig på en travel internasjonal flyplass, der passasjerer er underlagt streng kontroll og sikkerhetspersonell konfiskerer verktøy som skrutrekkere ved innsjekking. Kostnadene og risikoen gjør «juice jacking» til en lite praktisk angrepsmetode mot den jevne befolkning.
I tillegg er slike angrep relativt ineffektive. De kan bare infisere enheter som er koblet til ladepunktet. Videre er de ofte avhengig av sikkerhetshull som produsenter av mobile operativsystemer, som Apple og Google, stadig jobber med å tette.
Dersom en hacker tukler med en offentlig ladestasjon, er det mest sannsynlig et målrettet angrep mot en person med høy verdi, ikke en vanlig pendler som bare trenger litt ekstra batteri på vei til jobb.
Sikkerhet først
Denne artikkelen skal ikke bagatellisere sikkerhetsrisikoen knyttet til mobile enheter. Smarttelefoner kan noen ganger spre skadelig programvare. Det har også forekommet tilfeller der telefoner har blitt infisert ved tilkobling til en datamaskin som inneholder skadelig programvare.
I en Reuters-artikkel fra 2016 beskrev Mikko Hypponen, en kjent sikkerhetsekspert fra F-Secure, en spesielt skadelig variant av Android-malware som rammet en europeisk flyprodusent.
Hypponen fortalte at han nylig hadde snakket med en europeisk flyprodusent som opplyste at de rengjorde cockpiten i flyene hver uke for skadelig programvare som var designet for Android-telefoner. Denne skadelige programvaren hadde spredd seg til flyene fordi ansatte ved fabrikken hadde ladet telefonene sine ved hjelp av USB-porten i cockpiten.
Fordi flyet kjørte et annet operativsystem, ble det ikke rammet direkte, men det overførte viruset til andre enheter som ble koblet til laderen.
Du kjøper husforsikring ikke fordi du forventer at huset skal brenne ned, men som en forholdsregel i tilfelle det verste skulle skje. På samme måte bør du ta fornuftige forholdsregler når du bruker offentlige ladestasjoner. Hvis mulig, bruk en vanlig stikkontakt i stedet for en USB-port. Alternativt kan du vurdere å lade et bærbart batteri i stedet for selve enheten. Du kan også koble til et bærbart batteri og lade telefonen fra det mens det bærbare batteriet lader. Med andre ord, unngå å koble telefonen direkte til offentlige USB-porter når det er mulig.
Selv om det er lite dokumentert risiko, er det alltid best å være føre var. Som en tommelfingerregel bør du unngå å koble enhetene dine til USB-porter du ikke stoler på.