Насколько безопасно заряжать устройства в общественных местах?
Еще в ноябре прокуратура округа Лос-Анджелеса (США) распространила информацию о новом способе криминального использования публичных USB-зарядников для кражи данных под названием «juice jacking». Окружной прокурор отметил, что туристы должны быть осторожны при использовании зарядных USB-станций в общественных местах.
По мнению правительственных чиновников, зарядка смарт-устройства в аэропорту при ожидании рейса может привести к его заражению вредоносными программами. Зарядные USB-станции часто встречаются не только в аэропортах, но также и в парках, кафе, отелях, крупных магазинах и других общественных местах.
Что такое Juice Jacking?
Этот термин используется для описания кибер-атаки, проводимой преступниками, которые незаконно скомпрометировали зарядную USB-станцию и преобразовали ее в кибер-оружие, способное получать несанкционированный доступ к данным, которые хранятся на вашем смарт-устройстве. В результате взлома такой станции преступники загружают в нее вредоносное ПО, после чего они могут заражать любое смарт-устройство (планшет, смартфон), подключенное к ней для подзарядки через USB-кабель. Затем вредоносная программа позволяет кибер-преступникам заразить ваше смарт-устройство с помощью вируса или получить доступ к конфиденциальной информации (пароли и т.д.), хранящейся на вашем устройстве.
Как не стать жертвой взломанной зарядной USB-станции?
Ограничение на использование зарядных станций для смартфонов, планшетов и других устройств в общественных местах – это лучший способ не стать жертвой инцидента. Однако большинство пользователей смартфонов могут лишь мечтать о батарее с очень длительным сроком работы. Иногда, например, вы приземляетесь после длительного перелета и понимаете, что заряд вашего смартфона уже закончился, и вы не сможете вызвать такси домой, пока не подзарядите ваше устройство. Самый безопасный способ – иметь полностью заряженный портативный блок питания или использовать для зарядки телефона обычную розетку переменного электрического тока.
Но если у вас нет возможности постоянно носить с собой портативный блок питания или кабель для зарядки устройства, то вам следует установить на вашем смарт-устройстве надежную программу для защиты. Один из лучших способов не беспокоиться о своем устройстве при его зарядке на USB-станции в общественном месте – это установить антивирус на ваш телефон или планшет. Любой надежный антивирус сможет обнаружить попытку незаконных действий через USB-порт, к которому вы подключаете зарядное устройство, чтобы защитить ваше устройство от его блокировки мошенниками или кражи данных и паролей непосредственно с вашего устройства.
Juice jacking технически возможен, а потому хакеры используют эту технику для своих целей. Впрочем, уголовная практика по наказанию таких преступников крайне скудна, а потому даже окружной прокурор в Лос-Анджелесе сообщил, что у них нет обращений по таким случаям мошенничества. Тем не менее, довольно часто действия преступников становятся известны намного позже того, как они совершат свое преступление, поэтому не помешает к этому подготовиться. Даже богатейшие люди мира были взломаны, поэтому никто полностью не защищен, но оставаться легкой мишенью для кибер-преступников означает значительно увеличить свои шансы стать жертвой мошенников – вот почему наличие дополнительного уровня защиты имеет крайне важное значение. Не позвольте хакерам с помощью Juice jacking испортить вам радость от грядущих новогодних праздников, и установите бесплатную триал-версию антивируса Panda Dome прямо сейчас!
Оригинал статьи: How safe are public USB charging stations?
Что такое Juice Jacking и как его предотвратить и защитить свой смартфон
Как часто вы используете общественные зарядные USB-порты для зарядки ваших телефонов, планшетов и других устройств? Знаете ли вы, что такие общественные зарядные устройства телефона могут тайно устанавливать вредоносные программы на ваше устройство? Да, это правда. Порты общественной зарядки действительно очень помогают, когда батарея наших мобильных устройств разряжена, и у нас нет зарядного устройства или аккумулятора; но с другой стороны, такие порты могут также украсть все ваши данные, установив вредоносное ПО на ваше устройство.
В общественных местах встреч, таких как кафе, офисы, залы аэропортов и гостиниц, а также железнодорожные станции, есть такие общественные зарядные станции, и большинство из нас часто отчаянно пытаются использовать их, когда наши устройства имеют низкое энергопотребление.
Для тех, кто не знает, Сокрытие соком является разновидностью кибератак, называемых тем, что на ваше устройство устанавливается вредоносное ПО с помощью USB-порта для зарядки, и все ваши данные тайно копируются.
Что такое Джек Джеккинг?
Мы знаем, что современные смартфоны используют один и тот же кабель для передачи данных и порт для питания, а также для потоковой передачи данных. Независимо от того, используете ли вы телефон Android, Windows Phone или iPhone, кабель для зарядки телефона также используется для передачи данных. Публичные порты зарядки могут быть подключены к некоторым скрытым компьютерам, которые связаны с вашим устройством, когда вы начинаете заряжать его. Именно так перехватчики получают незаконный доступ ко всем вашим данным, хранящимся на вашем телефоне в процессе зарядки. Вредоносный код затем внедряется в ваше устройство через вредоносные зарядные устройства для кражи данных, и это называется Сокрытие сока.
После подключения к настольному компьютеру ваш телефон становится доступным для злоумышленников, и все ваши данные находятся под угрозой, включая ваши фотографии, базу данных контактов, заметки, музыкальные файлы и даже файлы кэша. Это, однако, все еще терпимо, но атака действительно может быть инвазивной, когда вредоносный код внедряется в ваше устройство, которое будет связывать ваше устройство со скрытым компьютером, пока вы полностью не отформатируете свой телефон и не переустановите заводские настройки.
Как предотвратить соковыжимание и защитить устройство
Хотя соковыжимание не является широко распространенной угрозой, всегда лучше быть осторожным. Со здравым смыслом и осторожностью вы легко сможете избежать этой скрытой атаки на ваши устройства.
3] Носите банк питания или зарядное устройство – Большинство известных технологических брендов сегодня делают банки питания, и покупка одного из них – очень хорошая идея, чтобы избежать каких-либо неприятностей или хаоса, вызванных истощением телефон. Если это не банк питания, не забудьте взять с собой собственное зарядное устройство. В настоящее время вы можете получить розетку почти в любом общественном месте, и вы можете заряжать свои устройства с помощью собственного зарядного устройства, тем самым избегая соковыжималки.
5] Получите кабель только для зарядки. На рынке доступно два типа USB-кабелей. Теперь не все действительно знают разницу между кабелем только для зарядки и кабелем передачи данных. Нет очевидных визуальных подсказок, чтобы различать эти две вещи, но вы все равно можете заметить разницу, если будете немного внимательнее.
Зарядные кабели USB поставляются с двумя различными типами портов: один – это кабель зарядного порта, а другой – кабель с комбинированными портами (данные + зарядка). Кабель только для зарядки никогда не может передавать данные и обеспечивает более высокий ток зарядки, что приводит к быстрой зарядке. Проще говоря, кабель только для зарядки – это двухжильный кабель, а кабель для передачи данных – это четырехжильный кабель.Таким образом, использование кабеля только для зарядки в общественных зарядных станциях, безусловно, предотвратит сокрушение устройства.
7] Использование USB-презерватива. Общественные зарядные станции обычно предлагают USB-порты и кабели для зарядки, и практически невозможно определить, имеет ли какой-либо из них доступ к вашим данным или нет, поэтому всегда лучше будьте особенно осторожны, ведь речь идет о ваших личных данных. Использование USB-презерватива – отличная идея, чтобы избежать соковыжималки. Многие из нас, возможно, даже не слышали о термине «USB-презерватив», но на самом деле это то, что называется крошечным устройством, и оно тоже работает точно так же.
Что такое USB-презерватив и как он работает
USB-презерватив – это устройство типа «маленький ключ», которое может превратить ваш кабель для передачи данных в кабель только для зарядки. Он обрезает соединение выводов передачи данных USB-порта в электронном виде и разрешает только питание, тем самым предотвращая соковыжимание. Вам просто нужно надеть USB-презерватив на конец кабеля USB для передачи данных, и он преобразует его в кабель только для зарядки, предотвращая тем самым передачу любых данных при использовании ненадежных общественных киосков зарядки.
Термин «Сокрытие сока» не очень распространен и впервые был использован Брайаном Кребсом в своем блоге по безопасности. Сок сока тоже не так распространен, но да, он есть, и это может создать проблему для вашего устройства. Поэтому всегда рекомендуется соблюдать осторожность при зарядке телефона в публичном киоске.
Короче говоря, вам следует избегать использования общественных зарядных станций, но если вам необходимо использовать их в чрезвычайной ситуации, убедитесь, что вы следуете вышеупомянутым советам и держите свое устройство вдали от рисков, таких как кража данных и включение вредоносных программ.
Никогда не заряжайте телефон через общественную USB-зарядку!
Атака, о которой мы говорим сегодня, известна как Juice Jacking. На русском языке нет однозначного термина, а механизм атаки не сильно освещен в СМИ. Эта атака может привести к тому, что личные данные данные от вашего криптокошелька, биржи или почты будут украдены, а телефон заражен скрытым майнером.
Рассказываем, почему заряжать телефон через USB-станцию в общественном месте — плохая идея.
Типичная ловушка
Вы в сотне километров от дома, а телефон умирает без зарядки. И вот спасение — публичная станция для зарядки телефона, которой оборудовано множество вокзалов. Вы без задней мысли подключаете телефон и, кажется, вы спасены. Что здесь может пойти не так? К сожалению, довольно много. USB-кабель можно использовать не только для зарядки, но и для передачи информации.
Атака Juice Jacking наиболее часто проходит в людных местах, где ситуация предполагает зарядить телефон:
Как работает Juice Jacking
Независимо от того, насколько у вас современный телефон, у всех них есть одна общая особенность: источник питания и поток данных проходят по одному кабелю. И это не зависит от того, используете вы miniUSB, фирменные кабели Apple, type-c — ситуация одна и та же.
Это ограничение, данные/питание по тому же кабелю, дает злоумышленнику доступ к телефону во время процесса зарядки: для незаконного доступа к данным телефона или внедрения вредоносного кода на устройство. Это и называется Juice Jacking.
Исследование атаки
Атака может быть очень простой. Телефон напрямую соединяется с компьютером, скрытым в зарядном киоске. Такая информация, как личные фотографии и контактная информация, передается на устройство злоумышленника. На конференции по безопасности BlackHat, еще в 2016 году, исследователи представили «MACTANS: внедрение вредоносных программ в устройства iOS с помощью вредоносных зарядных устройств». Вот отрывок из их презентации:
В этой презентации мы продемонстрируем, как устройство iOS можно взломать в течение одной минуты после подключения к вредоносному зарядному устройству. Сначала мы рассмотрим существующие механизмы безопасности Apple для защиты от произвольной установки программного обеспечения. Затем опишем, как можно использовать возможности USB, чтобы обойти эти защитные механизмы. Чтобы телефон не смог обнаружить заражение, мы покажем, как злоумышленник может скрыть свое программное обеспечение так же, как Apple скрывает свои собственные встроенные приложения.
Чтобы продемонстрировать практическое применение этих уязвимостей, мы создали концепцию вредоносного зарядного устройства под названием Mactans с использованием BeagleBoard. Mactans был построен с ограниченным количеством времени и небольшим бюджетом. Мы также кратко рассмотрим, чего могут добиться более мотивированные, хорошо финансируемые противники.
Они использовали дешевое оборудование и очевидные уязвимости в системах безопасности. С этим набором исследователи получили доступ к iOS менее чем за минуту. Конечно, спустя три года, Apple ввела многочисленные меры безопасности, но риск для телефонов остается.
На конференции пятью годами ранее, DEF CON в 2011 году, исследователи из Aires Security построили зарядный киоск. С его помощью они продемонстрировали опасность атаки через USB и предупредили общественность о том, насколько уязвимы их телефоны. Даже устройства, где стоял запрет на обмен данными, все еще подвергались риску.
При этом Juice Jacking может работать не одномоментно. Если через USB установлено сопряжение с устройством, злоумышленник получит доступ после процесса подключения.
После сопряжения настольного компьютера он может получить доступ к множеству личных данных на устройстве. Эти и адресная книга, и заметки с паролями, и фотографии, база данных смс, кэши приложений и браузера. Он также может инициировать полное резервное копирование телефона. Как только устройство сопряжено, ко всему этому можно получить беспроводной доступ в любое время, независимо от того, есть ли синхронизация WiFi. Это сопряжение продолжается до тех пор, пока вы не восстановите заводские настройки.
Насколько сильно волноваться?
В настоящее время атака представляет собой теоретическую угрозу. Шансы, что кто-то заразил USB-порты для зарядки в местном аэропорту, пока низки. Это не означает, однако, что вы должны забыть о реальной угрозе безопасности, которую представляет подключение смартфона или планшета к неизвестному устройству.
Ваша информированность сократит вероятность массовой атаки. Плюс, это усилит давление на компании, чтобы они лучше защищали устройства от вторжения.
Что делать, чтобы защититься
Наиболее очевидные меры предосторожности — не нужно заряжать телефон с помощью сторонней системы.
Носите с собой персональное зарядное устройство. Зарядки стали настолько легкими, что едва ли весят больше, чем отдельный USB-кабель. Подключение напрямую от розетки пока несет меньше рисков.
Используйте usb-«презерватив», чтобы через него подключать устройство к любым незнакомым портам.
Блокируйте телефон. Если ваш телефон недоступен без ввода PIN-кода или пароля, он не должен сопрягаться с устройством.
Выключение телефона перед зарядкой не всегда помогает. Некоторые модели, несмотря на выключение, все равно обеспечивают доступ к флэш-памяти устройства.
Последний способ — это использовать USB-кабель с удаленными или закороченными проводами данных. Это кабели «только для питания». В них отсутствуют два провода, необходимые для передачи данных, и остаются только два для передачи энергии. Но с ними устройство обычно заряжается медленнее.
Что такое Juice Jacking и как его предотвратить и защитить ваш смартфон? 2021
Hackers using ‘juice jacking’ to steal information from phones
Как часто вы используете публичные зарядные USB-порты для зарядки ваших телефонов, планшетов и других устройств? Знаете ли вы, что такие общедоступные телефонные зарядные устройства могут тайно устанавливать вредоносное ПО на ваше устройство? Да, это правда. Общественные порты зарядки действительно очень помогают, когда батарея наших мобильных устройств разряжается, и у нас нет зарядного устройства или блока питания; но, с другой стороны, такие порты могут также украсть все ваши данные, установив вредоносное ПО на ваше устройство.
Общественные места для встреч, такие как кафе, офисы, залы для аэропортов и гостиниц, а также железнодорожные станции имеют такие общедоступные зарядные станции, и большинство
Что такое Juice Jacking
Мы знаем, что современные смартфоны используют один и тот же кабель для передачи данных и порт для питания, а также для потоковой передачи данных. Независимо от того, используете ли вы телефон Android, телефон с Windows или iPhone, кабель, используемый для зарядки телефона, также используется для передачи данных. Общественные порты зарядки могут быть подключены к некоторым скрытым компьютерам, которые подключены к вашему устройству, когда вы начнете его заряжать. Таким образом, подслушивающие устройства получают незаконный доступ ко всем вашим данным, хранящимся на вашем телефоне во время процесса зарядки. Вредоносный код затем вводится на ваше устройство с помощью вредоносных зарядных устройств, чтобы украсть данные, и это называется Juice Jacking.
После соединения с настольной компьютерной системой ваш телефон доступен для инфильтраторов, и все ваши данные включая фотографии, базу данных контактов, заметки, музыкальные файлы и даже файлы кеша. Это, однако, по-прежнему переносимо, но атака действительно может быть инвазивной, когда на устройство вводится вредоносный код, который будет соединять ваше устройство со скрытой компьютерной машиной до тех пор, пока вы полностью не отформатируете телефон и не переустановите заводские настройки.
Как предотвратить Juice Jacking & protect your device
Пока Juice Jacking не является широко распространенной угрозой, всегда лучше быть осторожным. С некоторыми из вашего здравого смысла и осторожности вы можете легко избежать этой тайной атаки на свои устройства.
3] Возьмите банк питания или зарядное устройство
Что такое киберзапугивание? Как предотвратить и сообщить об этом?
Интернет предоставляет анонимность, которая ободряет кибербелли. Читайте, что такое Cyberbullying, причины, последствия, факты, определение, предотвращение и как сообщать о хулиганах.
Отказ в обслуживании: что это такое и как предотвратить его
Что такое DoS или отказ в обслуживании? Как это может повлиять на вашу сеть? Как остановить или предотвратить DoS-атаки? Мы отвечаем на все это в этой статье.
Что такое krack и что вы должны сделать, чтобы защитить свои системы от него
С помощью Krack протокол безопасности WPA становится бесполезным, и любой может использовать вашу систему, чтобы увидеть, что передается или что вы видите в Интернете.
Совет по безопасности — как обнаружить такой тип кибератаки, как «Juice Jacking» на смартфонах Android
Несколько лет назад мы писали об таком типе кибератак как «juice jacking», подчеркивая риски безопасности, связанные с зарядкой через USB в общественных местах, когда злоумышленник может попытаться взломать ваш телефон или ноутбук, чтобы украсть ваши ценные данные или установить вредоносное ПО/программы-вымогатели.
В большинстве случаев дома нет никаких рисков, но когда вы заряжаете свое устройство в общественном месте, особенно в аэропорту или на вокзале, вы можете подвергнуться риску взлома. Если вы используете телефон Android, есть простой способ обнаружить «Juice Jacking» и не происходит ли чего-то подозрительного, как показано на снимках экрана ниже.
На скриншоте слева мы подключаем свой телефон к зарядному устройству USB, все, что изменилось, — изменился значок батареи, показывающий, что устройство заряжается. Но на правом скриншоте мы подключили наш смартфон к ноутбуку, и, поскольку он пытается получить доступ к данным, мне предложили три варианта: передать фотографии, передать файлы или только зарядить.
Мы полагаем, вы можете видеть, куда он идет, как если бы вы могли видеть правильный снимок экрана, находясь в общественном месте, которое должно заряжать только ваш телефон, вы будете знать, что что-то не так. Мы используем Huawei Prime Y9 2019 под управлением Android 10, и полагаем, что на других телефонах Android все аналогично. В более общем плане, если вы подключаете устройство к зарядному устройству и вас спрашивают, можно ли передавать фотографии или файлы или получать доступ к любому типу данных, что-то не так. Поэтому, чтобы избежать «juice jacking», вы можете убедиться, что устройство используется только для зарядки, и проинформировать ответственное лицо о местоположении.
