Paul Ducklin, a Sophos technológiai vezetője, a Sophos NakedSecurity blogból
Biztos vagyok benne, hogy már hallottak az eltérítésről. Napjainkban ez általában egy levegőben szálló repülő erőszakos átvétele szokott lenni.
Közelebbi bűnügyi kapcsolatként hallania kellett már az autóeltérítésről, a hajóeltérítésről és a kamioneltérítésről. Valószínűleg számítógépes összefüggésben hallott már a sidejacking-ről, a sheepjacking-ről, a pagejacking-ről és a clickjacking-ről.
Nos, most egy újabbról fog hallani. Juicejacking (az angol szlengben a „juice" az energia, a „kraft" megfelelője, innen ered a „juicejacking" szóösszetétel, vagyis az energia eltérítése).
Amikor megáll egy pillanatra elgondolkodni erről, akkor a juicejacking egy egyértelmű, meglepően könnyű és potenciálisan nagyon is jövedelmező módja a személyes és nagyvállalati adatok zsákmányolásának.
De majdhogynem senki sem állt le erről gondolkodni a Brian Markus, Joseph Mlodzianowski Robert Rowley trió előtt. Ők elgondolkodtak róla és úgy döntöttek, hogy tartanak egy praktikus és publikus demonstrációt, hogy ezzel is felhívják rá a figyelmet. A bemutató az idei DEFCON konferencián zajlott le Las Vegasban.
Ön már valószínűleg látott lehetséges juicejacking rendszereket: ezek azok az „itt töltse fel a mobiltelefonját" kioszkok, amelyeket bevásárlóközpontokban, repülőtereken, hotel lobbikban és egyéb helyeken megtalálhatóak. Ön megkeresi azt a töltőadapter fejet, amely a telefonjához passzol, bedugja az eszközét és odazárja a kioszkhoz. Mialatt a hotelszobája elkészül vagy befejezte a vásárlást, a telefonja feltöltődik és használatra kész.
De mi történik akkor - és ez egy hatalmas „HA" - ha a mobiltelefon adaptere egy töltő-adatkapcsolat kombinációja? Napjainkban valószínűleg az, különösen akkor, ha az Ön eszköze hagyományos USB konnektorral rendelkezik.
A telefonja beállításaitól függően nem csak a telefonja feltöltéséért fizet, hanem az eszközén található adataival is akár.
Még nem hallottam arról, hogy ezt a támadást már használták volna. De ha teljeskörűen hamis Apple és akár IKEA boltok nőhetnek ki a semmiből Kínában, nem nehéz elképzelni, hogy hamis vagy legalábbis becsapdázott töltőállomások jelenhetnek meg bárhol a világon.
Telefonját egy nem-megbízható USB csatlakozásba dugni valójában egy komoly biztonsági kockázat. Ehhez hasonlóan megengedni valakinek azt, hogy telefonját az Ön egyik USB portjába csatlakoztassa, szintén egy biztonsági kockázat.
Szerencsére mindkét irányban könnyű elkerülni ezt a kockázatot:
- Amikor telefonját egy ismeretlen USB portról tölti vagy egy ismeretlen telefont tölt a saját USB portjáról, használjon csak töltésre használható USB kábelt. Az USB csatlakozóknak négy vagy öt csatlakozása van. A két legkülső a töltésre szolgál, ha az Ön kábelének a két vagy három belső csatlakozása hiányzik, akkor nem képes adattovábbításra, csak töltésre.
- Mindig hordja magánál és csak azt a töltő adaptert használja, amely az eszközével érkezett. A legtöbb repülőtéren mindenfelé találhat konnektor aljzatokat - a takarító brigádoknak van rá szüksége. A modern adapterek olyan kicsik, hogy mindig kéznél lehetnek, akár a kézipoggyászban is.
- Ha tudja, állítsa be az eszközét úgy, hogy mindig kérjen jelszót, mielőtt engedélyezné a töltő port adatátviteli képességeit. Ez egy jó általános gyakorlat, mivel addig nem tud szinkronizálni, amíg valójában nem akar.
- Ha hotelben tartózkodik, kérje a gondnok vagy recepciós segítségét. A laptopok és telefontöltők az utazók által leggyakrabban elvesztett tárgyaik között szerepelnek. A hotelek gyakran megtartják ezeket, így a következő ilyen segítségre szoruló embert ki tudják segíteni vele.
- Valós vészhelyzetekre vásároljon egy akkumulátorral vagy elemmel működő töltőt. Zsebméretűek, így sok energiát nem lehet belőlük kinyerni, de annyit mindenképpen, amíg nem találunk egy olyan boltot, ahol tudunk venni egy tartalék töltőadaptert.
Jó utazást.
További információ angol nyelven