Startpagina » hoe » Wat is Juice Jacking en moet ik openbare telefoonladers vermijden?

    Wat is Juice Jacking en moet ik openbare telefoonladers vermijden?

    Je smartphone moet worden opgeladen nog nogmaals en je bent mijlen verwijderd van de oplader thuis; die openbare oplaadkiosk ziet er veelbelovend uit - sluit gewoon je telefoon aan en haal de zoete, zoete energie waar je naar op zoek bent. Wat zou er mogelijk fout kunnen gaan, toch? Dankzij de algemene kenmerken van hardware- en softwareontwerp voor gsm's, zijn er nogal wat dingen - lees verder om meer te leren over juice jacking en hoe je dit kunt vermijden.

    Wat is Juice Jacking precies??

    Ongeacht het soort moderne smartphone die je hebt - of het nu een Android-apparaat, iPhone of BlackBerry is - is er een gemeenschappelijke functie op alle telefoons: de voeding en de datastroom lopen over dezelfde kabel. Of u nu de nu standaard USB miniB-verbinding of de eigen kabels van Apple gebruikt, het is dezelfde situatie: de kabel die wordt gebruikt om de batterij op te laden in uw telefoon is dezelfde kabel die u gebruikt om uw gegevens over te brengen en te synchroniseren.

    Deze opstelling, data / voeding op dezelfde kabel, biedt een benaderingsvector voor een kwaadwillende gebruiker om toegang te krijgen tot uw telefoon tijdens het laadproces; gebruik maken van de USB-gegevens / stroomkabel om illegaal toegang te krijgen tot de gegevens van de telefoon en / of kwaadwillende code op het apparaat te injecteren, staat bekend als Juice Jacking.

    De aanval kan net zo eenvoudig zijn als een inbreuk op de privacy, waarbij uw telefoon paren met een computer verborgen in de oplaadkiosk en informatie zoals privéfoto's en contactgegevens worden overgedragen aan het kwaadaardige apparaat. De aanval kan ook net zo invasief zijn als een injectie van schadelijke code rechtstreeks in uw apparaat. Op de BlackHat-beveiligingsconferentie van dit jaar presenteren beveiligingsonderzoekers Billy Lau, YeongJin Jang en Chengyu Song "MACTANS: het injecteren van malware in iOS-apparaten via kwaadwillende laders", en hier is een fragment uit hun presentatiesamenvatting:

    In deze presentatie laten we zien hoe een iOS-apparaat kan worden aangetast binnen een minuut nadat hij is aangesloten op een kwaadwillende lader. We onderzoeken eerst de bestaande beveiligingsmechanismen van Apple ter bescherming tegen willekeurige software-installatie en beschrijven vervolgens hoe USB-capaciteiten kunnen worden gebruikt om deze verdedigingsmechanismen te omzeilen. Om de persistentie van de resulterende infectie te garanderen, laten we zien hoe een aanvaller zijn software kan verbergen op dezelfde manier waarop Apple zijn eigen ingebouwde applicaties verbergt.

    Om de praktische toepassing van deze kwetsbaarheden te demonstreren, hebben we een kwaadwillende oplader ontwikkeld, Mactans genaamd, die een BeagleBoard gebruikt. Deze hardware is geselecteerd om het gemak te demonstreren waarmee onschuldig ogende, kwaadwillende USB-laders kunnen worden geconstrueerd. Hoewel Mactans werd gebouwd met een beperkte hoeveelheid tijd en een klein budget, hebben we ook kort overwogen wat meer gemotiveerde, goed gefinancierde tegenstanders konden bereiken.

    Met behulp van goedkope, kant-en-klare hardware en een opvallend beveiligingsprobleem konden ze in minder dan een minuut toegang krijgen tot de iOS-apparaten van de huidige generatie, ondanks de vele veiligheidsmaatregelen die Apple heeft getroffen om dit soort dingen te voorkomen.

    Dit soort van uitbuiting is echter geen nieuw gegeven op de veiligheidsradar. Twee jaar geleden, op de DEF CON-beveiligingsconferentie van 2011, bouwden onderzoekers van Aires Security, Brian Markus, Joseph Mlodzianowski en Robert Rowley een oplaadkiosk om specifiek de gevaren van juicejacking te demonstreren en het publiek te wijzen op hoe kwetsbaar hun telefoons waren toen verbonden met een kiosk - de afbeelding hierboven werd getoond aan gebruikers nadat ze in de kwaadaardige kiosk vijzelden. Zelfs apparaten die waren geïnstrueerd om geen gegevens te koppelen of gegevens te delen, werden nog steeds vaak geconfisqueerd via de Aires Security-kiosk.

    Nog verontrustender is dat blootstelling aan een kwaadaardige kiosk een slepende veiligheidsprobleem kan veroorzaken, zelfs zonder onmiddellijke injectie van schadelijke code. In een recent artikel over dit onderwerp belicht beveiligingsonderzoeker Jonathan Zdziarski hoe het lek van het paren van iOS aanhoudt en kan kwaadwillende gebruikers een venster naar uw apparaat bieden, zelfs nadat u niet langer in contact bent met de kiosk:

    Als u niet bekend bent met hoe paren op uw iPhone of iPad werkt, is dit het mechanisme waarmee uw bureaublad een vertrouwde relatie met uw apparaat tot stand brengt, zodat iTunes, Xcode of andere tools ermee kunnen praten. Zodra een desktopcomputer is gekoppeld, heeft deze toegang tot een groot aantal persoonlijke gegevens op het apparaat, waaronder uw adresboek, notities, foto's, muziekverzameling, sms-database, cache typen en kan zelfs een volledige back-up van de telefoon maken. Zodra een apparaat is gekoppeld, kunnen dit alles en meer op elk moment draadloos worden bekeken, ongeacht of WiFi-synchronisatie is ingeschakeld. Een koppeling duurt gedurende de levensduur van het bestandssysteem: dat wil zeggen dat wanneer uw iPhone of iPad is gekoppeld aan een andere machine, die koppeling duurt totdat u de telefoon terugzet naar de fabrieksstatus.

    Dit mechanisme, bedoeld om het gebruik van je iOS-apparaat pijnloos en plezierig te maken, kan eigenlijk een nogal pijnlijke toestand creëren: de kiosk waarmee je je iPhone net hebt opgeladen, kan in theorie een navelstreng van Wi-Fi op je iOS-apparaat onderhouden voor blijvende toegang, zelfs na je hebt je telefoon losgekoppeld en bent op een nabijgelegen loungestoel op de luchthaven gevallen om een ​​ronde (of veertig) Angry Birds te spelen.

     Hoe ongerust moet ik zijn?

    We zijn alles behalve een alarmist hier bij How-To Geek, en we geven het je altijd recht: momenteel is juice jacking een grotendeels theoretische bedreiging, en de kans dat de USB-oplaadpoorten in de kiosk op je lokale luchthaven eigenlijk een geheim zijn voorkant voor een data siphoning en malware-injecterende computer zijn erg laag. Dit betekent echter niet dat je gewoon je schouders moet ophalen en meteen het zeer reële beveiligingsrisico moet vergeten dat het inpluggen van je smartphone of tablet in een onbekend apparaat vormt.

    Enkele jaren geleden, toen de Firefox-extensie Firesheep het gesprek was van de stad in veiligheidskringen, was het precies de grotendeels theoretische maar nog steeds zeer reële dreiging van een eenvoudige browserextensie waarmee gebruikers de webservice-gebruikerssessies van andere gebruikers op de computer konden kapen lokaal Wi-Fi-knooppunt dat tot aanzienlijke wijzigingen heeft geleid. Eindgebruikers begonnen hun browsesessiebeveiliging serieuzer te nemen (met behulp van technieken zoals tunnelen via hun thuisinternetverbindingen of verbinding maken met VPN's) en grote internetbedrijven maakten grote beveiligingswijzigingen (zoals het versleutelen van de hele browsersessie en niet alleen het inloggen).

    Precies op deze manier verkleint het risico dat mensen worden opgedronken en verhoogt de druk op bedrijven om hun beveiligingspraktijken beter te beheren (het is geweldig dat uw iOS-apparaat bijvoorbeeld zo gemakkelijk paren en maakt uw gebruikerservaring soepel, maar de implicaties van levenslange koppeling met 100% vertrouwen in het gepaarde apparaat zijn vrij ernstig).

    Hoe kan ik Juice Jacking vermijden??

    Hoewel juice jacking niet zo wijdverspreid is als een regelrechte telefoondiefstal of blootstelling aan kwaadaardige virussen via gecompromitteerde downloads, moet u nog steeds gezond verstand voorzorgsmaatregelen nemen om blootstelling aan systemen te voorkomen die mogelijk schadelijke toegang tot uw persoonlijke apparaten geven.. Met dank aan Exogear.

    De meest voor de hand liggende voorzorgsmaatregelen draaien om het simpelweg onnodig maken om je telefoon op te laden via een systeem van een derde partij:

    Houd uw apparaten bekroond: De meest voor de hand liggende voorzorgsmaatregel is om uw mobiele apparaat opgeladen te houden. Maak er een gewoonte van om uw telefoon thuis en op kantoor op te laden wanneer u deze niet actief gebruikt of achter uw bureau zit om aan het werk te gaan. Hoe minder vaak je naar een rode 3% -balk kijkt terwijl je op reis bent of niet thuis bent, hoe beter.

    Draag een persoonlijke oplader: Opladers zijn zo klein en lichtgewicht geworden dat ze nauwelijks meer wegen dan de eigenlijke USB-kabel waarmee ze zijn verbonden. Gooi een oplader in je tas zodat je je eigen telefoon kunt opladen en de controle kunt houden over de datapoort.

    Draag een back-upbatterij: Of u nu kiest voor een volledige reservebatterij (voor apparaten waarmee u de batterij fysiek kunt verwisselen) of een externe reservebatterij (zoals deze kleine 2600 mAh), u kunt langer doorgaan zonder uw telefoon aan een kiosk of stopcontact te hoeven bevestigen.

    Naast het feit dat uw telefoon een volle batterij heeft, zijn er aanvullende softwaretechnieken die u kunt gebruiken (hoewel, zoals u zich kunt voorstellen, deze minder dan ideaal zijn en niet gegarandeerd werken dankzij de constant evoluerende wapenrace van beveiligingsactiviteiten). Als zodanig kunnen we niet echt een van deze technieken als echt effectief beschouwen, maar ze zijn zeker effectiever dan niets doen.

    Vergrendel je telefoon: Wanneer uw telefoon is vergrendeld, echt vergrendeld en ontoegankelijk is zonder de invoer van een pincode of een gelijkwaardig wachtwoord, moet uw telefoon niet koppelen met het apparaat waarmee deze is verbonden. iOS-apparaten koppelen alleen wanneer ze zijn ontgrendeld, maar nogmaals, zoals we eerder hebben benadrukt, vindt het koppelen binnen seconden plaats, dus je kunt beter ervoor zorgen dat de telefoon echt is vergrendeld.

    Power the Phone Down: Deze techniek werkt alleen op basis van een telefoonmodel per telefoonmodel, omdat sommige telefoons ondanks het uitschakelen het volledige USB-circuit van stroom voorzien en toegang tot de flashopslag in het apparaat mogelijk maken..

    Koppelingen uitschakelen (alleen voor iOS-apparaten met jailbroken): Jonathan Zdziarski, eerder genoemd in het artikel, heeft een kleine applicatie vrijgegeven voor gejailbreakte iOS-apparaten waarmee de eindgebruiker het koppelingsgedrag van het apparaat kan regelen. Je kunt zijn toepassing, PairLock, vinden in de Cydia Store en hier.

    Een laatste techniek die u kunt gebruiken, die effectief maar lastig is, is het gebruik van een USB-kabel waarvan de gegevensdraden zijn verwijderd of kortgesloten. Verkocht als "power only" -kabels, missen deze kabels de twee draden die nodig zijn voor datatransmissie en hebben alleen de twee draden voor vermogensoverdracht over. Een van de nadelen van het gebruik van een dergelijke kabel is echter dat je apparaat meestal langzamer oplaadt, omdat moderne laders de gegevenskanalen gebruiken om te communiceren met het apparaat en een geschikte maximale overdrachtsdrempel instellen (afwezigheid van deze communicatie, de lader zal standaard de laagste veilige drempelwaarde).


    .