Manapság a repülőtereken, a gyorséttermekben és még a buszokban is van USB töltőállomás. De ezek a nyilvános portok biztonságosak? Ha ilyet használ, feltörhetik telefonját vagy táblagépét? Megnéztük!
Tartalomjegyzék
Egyes szakértők riadót fújtak
Egyes szakértők szerint aggódnia kell, ha nyilvános USB-töltőállomást használt. Az év elején az IBM elit penetrációt vizsgáló csapatának, az X-Force Rednek a kutatói súlyos figyelmeztetéseket adott ki a nyilvános töltőállomásokkal kapcsolatos kockázatokról.
„A nyilvános USB-porthoz való csatlakoztatás olyan, mintha az út szélén találnánk egy fogkefét, és úgy döntenénk, hogy a szájába dugjuk” – mondta Caleb Barlow, az X-Force Red fenyegetésekkel foglalkozó hírszerzésért felelős alelnöke. – Fogalmad sincs, hol volt az a valami.
Barlow rámutat, hogy az USB-portok nem csupán energiát adnak át, hanem adatokat is továbbítanak az eszközök között.
A modern eszközök az Ön kezébe adják az irányítást. Nem szabad USB-portról adatokat fogadniuk az Ön engedélye nélkül – ezért van az, hogy a „Bízol ebben a számítógépben?” prompt létezik az iPhone készülékeken. A biztonsági rések azonban módot kínálnak a védelem megkerülésére. Ez nem igaz, ha egyszerűen csatlakoztat egy megbízható tápegységet egy szabványos elektromos csatlakozóhoz. Nyilvános USB-port esetén azonban olyan kapcsolatra számíthat, amely képes adatátvitelre.
Egy kis technológiai ravaszsággal lehetséges az USB-port fegyveressé tétele és a rosszindulatú programok rátolása a csatlakoztatott telefonra. Ez különösen igaz, ha az eszközön Android vagy az iOS régebbi verziója fut, és ezért lemaradt a biztonsági frissítésekről.
Mindez ijesztően hangzik, de ezek a figyelmeztetések valós aggályokon alapulnak? Mélyebbre ástam, hogy megtudjam.
Az elmélettől a gyakorlatig
Tehát a mobileszközök elleni USB-alapú támadások pusztán elméletiek? A válasz egyértelmű nem.
A biztonsági kutatók régóta potenciális támadási vektornak tekintik a töltőállomásokat. 2011-ben a veterán infosec újságíró, Brian Krebs még megalkotta a „léfelvarrás” kifejezést hogy leírjuk azokat a kihasználásokat, amelyek kihasználják azt. Ahogy a mobileszközök a tömeges elfogadás felé közeledtek, sok kutató erre az egyetlen szempontra összpontosított.
2011-ben a Wall of Sheep, a Defcon biztonsági konferencia peremeseményén töltőfülkéket telepítettek, amelyek használatukkor előugró ablakot hoztak létre az eszközön, amely figyelmeztetett a nem megbízható eszközökhöz való csatlakoztatás veszélyeire.
Két évvel később a Blackhat USA eseményen a Georgia Tech kutatói bemutattak egy eszközt amely töltőállomásnak álcázza magát, és rosszindulatú programokat telepíthet az iOS akkori legújabb verzióját futtató eszközre.
Folytathatnám, de érted az ötletet. A legrelevánsabb kérdés az, hogy a „Juice Jacking” felfedezése valós támadásokká vált-e át. Itt a dolgok kissé homályosak.
A kockázat megértése
Annak ellenére, hogy a „juice-jacking” népszerű terület a biztonságkutatók körében, alig van dokumentált példa arra, hogy támadók fegyverezték volna fel ezt a megközelítést. A legtöbb médiavisszhang az intézményeknek, például egyetemeknek és információbiztonsági cégeknek dolgozó kutatók elméleti bizonyítékaira összpontosít. Valószínűleg ennek az az oka, hogy eleve nehéz felfegyverezni egy nyilvános töltőállomást.
Egy nyilvános töltőállomás feltöréséhez a támadónak meghatározott hardvert (például egy miniatűr számítógépet a rosszindulatú programok telepítéséhez) kell beszereznie, és anélkül kell telepítenie, hogy elkapják. Próbálja meg ezt egy forgalmas nemzetközi repülőtéren megtenni, ahol az utasok intenzív ellenőrzés alatt állnak, és a biztonságiak a bejelentkezéskor elkobozzák az eszközöket, például a csavarhúzókat. A költségek és a kockázat miatt a gyümölcslé-felvarrás alapvetően alkalmatlan a nagyközönség elleni támadásokra.
Az is érv, hogy ezek a támadások viszonylag nem hatékonyak. Csak a töltőaljzatba csatlakoztatott eszközöket tudják megfertőzni. Ezenkívül gyakran támaszkodnak biztonsági résekre, amelyeket a mobil operációs rendszerek gyártói, például az Apple és a Google rendszeresen javítanak.
Valójában, ha egy hacker manipulál egy nyilvános töltőállomáson, az valószínűleg egy nagy értékű személy elleni célzott támadás része, nem pedig egy ingázó, akinek néhány százalékpontnyi akkumulátort kell megszereznie munkába menet.
Első a biztonság
Ennek a cikknek nem az a célja, hogy lekicsinyítse a mobileszközök jelentette biztonsági kockázatokat. Az okostelefonokat néha rosszindulatú programok terjesztésére használják. Előfordultak olyan esetek is, amikor a telefonok megfertőződtek, amikor rosszindulatú szoftvert tartalmazó számítógéphez csatlakoztak.
A Reuters 2016-os cikkében Mikko Hypponen, aki gyakorlatilag az F-Secure nyilvános arca, leírta az Android rosszindulatú programjának egy különösen ártalmas törzsét amely egy európai repülőgépgyártót érintett.
„Hypponen azt mondta, nemrégiben beszélt egy európai repülőgépgyártóval, aki azt mondta, hogy hetente megtisztítja gépei pilótafülkéit az Android telefonokra tervezett kártevőktől. A kártevő csak azért terjedt el a repülőgépekre, mert a gyári alkalmazottak a pilótafülkében lévő USB-porton töltötték telefonjaikat” – áll a cikkben.
„Mivel a gépen más operációs rendszer fut, semmi sem történne vele. De ez továbbadná a vírust a töltőhöz csatlakoztatott más eszközöknek.”
Nem azért vásárol lakásbiztosítást, mert arra számít, hogy leég a háza, hanem azért, mert a legrosszabb forgatókönyvre kell terveznie. Hasonlóképpen, ésszerű óvintézkedéseket kell tennie, amikor számítógépes töltőállomásokat használ. Amikor csak lehetséges, használjon szabványos fali aljzatot USB-port helyett. Ellenkező esetben fontolja meg a hordozható akkumulátor töltését az eszköz helyett. Hordozható akkumulátort is csatlakoztathat, és töltés közben töltheti róla telefonját. Más szóval, amikor csak lehetséges, ne csatlakoztassa közvetlenül telefonját nyilvános USB-portokhoz.
Annak ellenére, hogy kevés a dokumentált kockázat, mindig jobb félni, mint megijedni. Általános szabály, hogy ne csatlakoztassa dolgait olyan USB-portokhoz, amelyekben nem bízik.