“Meyve Suyu Sıkma” Nedir ve Genel Telefon Şarj Cihazlarından Kaçınmalı mıyım?
Akıllı telefonunuzun şarj olması gerekiyor henüz tekrar ve evde şarj cihazından mil; Bu kamu şarj kiosk oldukça umut verici görünüyor - sadece telefonunuzu takın ve istediğiniz tatlı, tatlı, enerji almak. Ne yanlış gidebilir ki, doğru? Cep telefonu donanım ve yazılım tasarımındaki ortak özellikler sayesinde, meyve suyu krikosu ve nasıl önlenebileceği hakkında daha fazla bilgi edinmek için epeyce bir şeyler okundu..
Tam olarak meyve suyu kriko nedir?
Modern bir akıllı telefonun türü ne olursa olsun, bir Android cihaz, iPhone veya BlackBerry olması durumunda, tüm telefonlarda ortak bir özellik var: güç kaynağı ve veri akışı aynı kablo üzerinden geçiyor. Şu anda standart USB miniB bağlantısını veya Apple'ın özel kablolarını kullanıyor olsanız da, durum aynı: Telefonunuzdaki pili şarj etmek için kullanılan kablo, verilerinizi aktarmak ve senkronize etmek için kullandığınız kabloyla aynı.
Bu kurulum, aynı kablodaki veri / güç, kötü niyetli bir kullanıcının şarj işlemi sırasında telefonunuza erişmesi için bir yaklaşım vektörü sunar; Telefon verilerine yasal olmayan şekilde erişmek ve / veya cihaza zararlı kodlar enjekte etmek için USB veri / güç kablosunun kullanılması, Meyve Suyu Sıkma olarak bilinir..
Saldırı, gizlilik istilası kadar basit olabilir; burada telefonunuz, şarj kioskunda gizlenmiş bir bilgisayarla eşleşir ve özel fotoğraflar ve iletişim bilgileri gibi bilgiler, kötü amaçlı cihaza aktarılır. Saldırı ayrıca doğrudan cihazınıza kötü amaçlı kod enjeksiyonu yapmak kadar istilacı da olabilir. Bu yılki BlackHat güvenlik konferansında güvenlik araştırmacıları Billy Lau, YeongJin Jang ve Chengyu Song “MACTANS: Kötü Amaçlı Şarj Cihazları Üzerinden iOS Cihazlarına Kötü Amaçlı Yazılım Enjekte Etme” başlıklı sunumunu sundular ve işte sunum özetlerinden bir alıntı:
Bu sunumda, bir iOS cihazının kötü amaçlı bir şarj cihazına bağlandıktan sonraki bir dakika içinde nasıl tehlikeye girebileceğini gösterdik. İlk olarak keyfi yazılım kurulumuna karşı korumak için Apple'ın mevcut güvenlik mekanizmalarını inceliyoruz, ardından bu savunma mekanizmalarını atlamak için USB özelliklerinden nasıl yararlanılabileceğini açıklıyoruz. Ortaya çıkan enfeksiyonun sürekliliğini sağlamak için, bir saldırganın Apple'ı kendi yerleşik uygulamalarını gizlediği gibi yazılımlarını nasıl gizleyebileceğini gösteriyoruz.
Bu güvenlik açıklarının pratik uygulamalarını göstermek için, BeagleBoard kullanarak Mactans adında konsept kötü amaçlı şarj cihazı kanıtı oluşturduk. Bu donanım, masum görünümlü, kötü niyetli USB şarj cihazlarının nasıl kurulabildiğini göstermek için seçildi. Mactans, sınırlı bir süre ve küçük bir bütçeyle inşa edilirken, daha motive ve iyi finanse edilen rakiplerin neler yapabileceğini kısaca düşünüyoruz..
Ucuz kullanıma hazır donanım ve göze çarpan bir güvenlik açığı kullanarak, Apple'ın bu türden bir şeyi önlemek için koyduğu çok sayıda güvenlik önlemine rağmen, mevcut nesil iOS cihazlarına bir dakikadan daha kısa sürede erişebildiler..
Bununla birlikte, bu tür bir istismar, güvenlik radarında yeni bir kayma değildir. İki yıl önce, 2011 DEF CON güvenlik konferansında, Aires Güvenlik, Brian Markus, Joseph Mlodzianowski ve Robert Rowley'den araştırmacılar, meyve suyunun tehlikelerini ortaya koymak ve halkı telefonlarının ne zaman savunmasız olduklarına karşı uyarmak için bir şarj büfesi kurdular. bir kiosk'a bağlıyken, yukarıdaki resim kullanıcılara kötü amaçlı kiosk'a girdikten sonra görüntülendi. Verileri eşleştirmemesi veya paylaşmaması talimatı verilen cihazlar bile, yine de Aires Güvenlik kioskuyla tehlikeye atıldı..
Daha da büyük sıkıntı, kötü amaçlı bir kiosk uygulamasına maruz kalmanın, kötü amaçlı kodun derhal enjekte edilmemesine rağmen kalıcı bir güvenlik sorunu yaratabileceğidir. Konuyla ilgili son bir makalede, güvenlik araştırmacısı Jonathan Zdziarski, iOS eşleştirme güvenlik açığının nasıl sürdüğünü ve kötü niyetli kullanıcılara, artık kiosk ile bağlantı kurduktan sonra bile cihazınız için bir pencere sunabileceğini vurgulamaktadır:
Eşleştirmenin iPhone veya iPad'inizde nasıl çalıştığını bilmiyorsanız, bu, iTunes, Xcode veya diğer araçların konuşabilmesi için masaüstünüzün cihazınızla güvenilir bir ilişki kurmasını sağlayan mekanizmadır. Bir masaüstü makinesi eşleştirildikten sonra, cihazınızdaki adres defteriniz, notlarınız, fotoğraflarınız, müzik koleksiyonunuz, sms veritabanınız, yazılan önbellek de dahil olmak üzere bir dizi kişisel bilgiye erişebilir ve hatta telefonun tam yedeklemesini başlatabilir. Bir cihaz eşlendikten sonra, WiFi senkronizasyonunun açık olup olmadığına bakılmaksızın, tüm bunlara ve daha fazlasına kablosuz olarak erişilebilir. Eşleştirme dosya sisteminin ömrü boyunca sürer: iPhone veya iPad'iniz başka bir makineyle eşlendiğinde, siz telefonunuzu fabrika durumuna getirene kadar eşleştirme ilişkisi sürer..
İOS cihazınızı ağrısız ve eğlenceli hale getirmeyi amaçlayan bu mekanizma aslında oldukça ağrılı bir durum yaratabilir: iPhone'unuzu yeni şarj ettiğiniz kiosk, teorik olarak, sonradan bile sürekli erişim için bir Wi-Fi göbek kordonu tutabilir. Telefonunuzu prizden çektiniz ve yakındaki bir havaalanı şezlonguna bir tur (veya kırk) Angry Birds oynamak için düştünüz..
Ne Kadar Endişelenmeliyim?
Burada, “Nasıl Yapılır” dersinde alarmcı olmaktan başka bir şeyiz ve size her zaman doğrudan veriyoruz: şu anda meyve suyu krikosu büyük ölçüde teorik bir tehdittir ve yerel havalimanınızdaki kiosktaki USB şarj bağlantı noktalarının aslında bir sır olma ihtimali veri sifonu ve kötü amaçlı yazılım enjekte eden bir bilgisayar için çok düşüktür. Ancak bu, sadece omuzlarınızı silkmeniz ve akıllı telefonunuzu veya tabletinizi bilinmeyen bir cihaza takmanın gerçek güvenlik riskini derhal unutmanız gerektiği anlamına gelmez..
Birkaç yıl önce, Firefox eklentisi Firesheep kasabanın güvenlik çevrelerindeki konuşmasıyken, kullanıcıların büyük olasılıkla teorik fakat yine de çok basit bir tarayıcı eklentisi tehdidi oluşturuyordu. önemli değişikliklere neden olan yerel Wi-Fi düğümü. Son kullanıcılar göz atma oturumu güvenliğini daha ciddiye almaya başladı (evdeki internet bağlantılarını kullanarak tünel açma veya VPN'lere bağlanma gibi teknikleri kullanarak) ve büyük internet şirketleri önemli güvenlik değişikliklerini yaptı (örneğin, yalnızca oturum açmayı değil, tüm tarayıcı oturumunu şifrelemek gibi).
Tam olarak bu şekilde, kullanıcıların meyve suyu krikoyu tehlikesi konusunda farkında olmaları, insanların meyve suyu keki olma olasılığını azaltır ve güvenlik uygulamalarını daha iyi yönetmek için şirketler üzerindeki baskıyı artırır (örneğin, iOS cihazınızın bu kadar kolay eşleşmesi harika ve kullanıcı deneyiminizi pürüzsüz hale getirir, ancak eşleştirilmiş cihaza% 100 güven veren ömür boyu eşleşmenin etkileri oldukça ciddidir).
Meyve Suyu Jacking Nasıl Önleyebilirim?
Meyve suyu krikosu, telefonun çalınması veya tehlikeye maruz kalmış indirmeler yoluyla kötü amaçlı virüslere maruz kalmak kadar net bir tehdit oluşturmasa da, kişisel cihazlarınıza kötü niyetli olabilecek sistemlere maruz kalmamak için sağduyulu önlemler almalısınız.. Exogear'ın izniyle.
En bariz önlemler, telefonunuzun üçüncü parti bir sistem kullanarak şarj edilmesini gereksiz kılan basit bir çözümdür:
Cihazlarınızı Zirvede Tutun: En belirgin önlem, mobil cihazınızın şarj edilmesini sağlamaktır. Aktif olarak kullanmadığınızda veya çalışma masanızda otururken telefonunuzu evinizde ve ofisinde şarj etmeyi alışkanlık haline getirin. Kendinize ne kadar az seyahat ediyorsanız veya evden uzaktayken% 3'lük bir kırmızı pil bara bakıyorsanız, daha iyi.
Kişisel Şarj Cihazı Taşıma: Şarj cihazları o kadar küçük ve hafiftir ki taktıkları USB kablosundan çok daha ağırdırlar. Çantanıza bir şarj cihazı atın, böylece kendi telefonunuzu şarj edebilirsiniz ve veri portu üzerindeki kontrolünüzü elinizde tutabilirsiniz..
Yedek Batarya Taşıma: Tam yedek pil (pili fiziksel olarak değiştirmenize izin veren cihazlar için) veya harici yedek pil (bu küçük 2600mAh gibi) taşımayı tercih edin; telefonunuzu bir kiosk veya duvar prizine bağlamanıza gerek kalmadan daha uzun süre gidebilirsiniz.
Telefonunuzun tam dolu bir batarya sağladığından emin olmanın yanı sıra, kullanabileceğiniz ek yazılım teknikleri de vardır (bununla birlikte, hayal edebileceğiniz gibi bunlar idealin altında değildir ve sürekli gelişen güvenlik savaşları silah yarışında verilen işe yaramaları garanti edilmez). Bu nedenle, bu tekniklerin hiçbirini gerçekten etkili olarak onaylayamayız, ancak kesinlikle hiçbir şey yapmamaktan daha etkilidirler.
Telefonunuzu Kilitleyin: Telefonunuz kilitliyken, PIN veya eşdeğer bir şifre girilmeden gerçekten kilitlenmiş ve erişilemez ise, telefonunuz bağlı olduğu cihazla eşleşmemelidir. iOS aygıtları yalnızca kilidi açıldığında eşleşir, ancak daha önce de vurguladığımız gibi, eşleşme saniyeler içinde gerçekleşir, böylece telefonun gerçekten kilitli olduğundan emin olursunuz..
Telefonu Kapatın: Bu teknik, bazı telefonlar kapatılsa bile, tüm USB devresini açmaya devam edecek ve cihazdaki flash belleğe erişime izin vereceklerinden, yalnızca telefon modeline göre telefon modelinde çalışır..
Eşleştirmeyi Devre Dışı Bırak (Sadece Jailbroken iOS Aygıtları): Makalede daha önce bahsedilen Jonathan Zdziarski, son kullanıcının cihazın eşleştirme davranışını kontrol etmesine izin veren jailbroken iOS cihazları için küçük bir uygulama yayınladı. Uygulamasını PairLock'u Cydia Mağazasında ve burada bulabilirsiniz..
Kullanabileceğiniz ancak etkili olmayan son bir teknik, veri kablolarını çıkarılmış veya kısa devre yapmış bir USB kablosu kullanmaktır. “Yalnızca güç” kabloları olarak satılan bu kablolarda, veri iletimi için gereken iki tel eksik ve güç iletimi için yalnızca iki tel kalmış. Bununla birlikte, böyle bir kablonun kullanılmasının olumsuz yönlerinden biri, modern şarj cihazları cihazla iletişim kurmak için veri kanallarını kullandığından ve uygun bir maksimum transfer eşiği belirlediğinden, cihazınız genellikle daha yavaş şarj olur (şarj cihazı varsayılan olarak en düşük güvenli eşik).
.