V dnešní době se nabíjecí USB porty stávají běžnou součástí letišť, restaurací rychlého občerstvení, a dokonce i autobusů. Nicméně, vyvstává otázka, zda jsou tyto veřejné nabíjecí stanice skutečně bezpečné. Hrozí při jejich použití riziko napadení vašeho telefonu nebo tabletu? Podívali jsme se na to blíže!
Varování odborníků
Někteří odborníci v oblasti kybernetické bezpečnosti varují, že používání veřejných USB nabíjecích stanic může představovat potenciální riziko. Již začátkem tohoto roku tým specialistů na penetrační testování IBM, X-Force Red, publikoval znepokojivé zprávy o nebezpečí spojeném s využíváním těchto stanic.
„Připojení k veřejnému USB portu je jako kdybyste našli kartáček na zuby u silnice a rozhodli se ho použít,“ řekl Caleb Barlow, viceprezident pro zpravodajství o hrozbách v X-Force Red. „Nemáte tušení, k čemu všemu mohl být dříve použit.“
Barlow upozorňuje na fakt, že USB porty neslouží pouze k přenosu energie, ale také dat mezi zařízeními.
Moderní zařízení vyžadují k ověření přenosu dat vaše potvrzení. Proto se například na iPhonech zobrazuje dotaz „Důvěřovat tomuto počítači?“. Nicméně existuje bezpečnostní zranitelnost, která umožňuje obejít tuto ochranu. Při použití standardní elektrické zásuvky s nabíjecím adaptérem toto riziko nehrozí, ale u veřejných USB portů se spoléháte na připojení, které může přenášet data.
S určitou dávkou technické zručnosti je možné USB port zneužít k zaslání malwaru do připojeného telefonu, zejména u zařízení s operačním systémem Android nebo starší verzí iOS, která nemusí mít aktuální bezpečnostní aktualizace.
I když to všechno zní alarmující, stojí za to se hlouběji zamyslet, zda jsou tato varování opodstatněná.
Od teorie k realitě
Je tedy riziko USB útoků na mobilní zařízení pouhou teorií? Odpověď zní jasně: ne.
Bezpečnostní odborníci již delší dobu považují nabíjecí stanice za potenciální vstupní bod pro útoky. Již v roce 2011 novinář specializující se na kybernetickou bezpečnost, Brian Krebs, zavedl termín „juice jacking“, který popisuje zneužití tohoto způsobu připojení. Vzhledem k tomu, že mobilní zařízení se stala neodmyslitelnou součástí našeho života, mnoho výzkumníků se zaměřilo právě na tento aspekt.
V roce 2011, na konferenci Defcon, byla v rámci akce Wall of Sheep představena nabíjecí zařízení, která po připojení vygenerovala varovné vyskakovací okno, upozorňující na nebezpečí připojení k nedůvěryhodným zařízením.
O dva roky později, na konferenci Blackhat USA, výzkumníci z Georgia Tech demonstrovali nástroj, který se dokázal vydávat za nabíjecí stanici a instalovat malware do zařízení s tehdy aktuální verzí iOS.
Mohli bychom pokračovat, ale myslím, že je jasné, o co jde. Klíčová otázka ale zní, zda se „juice jacking“ skutečně objevuje v reálných útocích. A zde se situace stává trochu nejasnou.
Skutečné riziko
Přestože „juice jacking“ je oblíbenou oblastí zájmu výzkumníků v oblasti kybernetické bezpečnosti, existuje jen minimum zdokumentovaných případů, kdy by byl tento přístup využit při skutečných útocích. Většina mediálního pokrytí se zaměřuje na důkazy konceptů od výzkumníků z univerzit a firem specializujících se na informační bezpečnost. S největší pravděpodobností je to proto, že vytvořit „zbraně“ z veřejné nabíjecí stanice je poměrně obtížné.
K provedení útoku by útočník musel získat specifický hardware (např. miniaturní počítač pro šíření malwaru) a nainstalovat ho bez odhalení. Zkuste si to představit na rušném mezinárodním letišti, kde jsou cestující pod neustálým dohledem a bezpečnostní kontrola zabavuje i takové nástroje, jako jsou šroubováky. Kvůli nákladům a rizikům spojeným s přípravou takového útoku je „juice jacking“ nevhodný pro masové útoky.
Navíc, tyto útoky jsou relativně neefektivní, neboť se týkají pouze zařízení, která jsou fyzicky připojena k dané zásuvce. Často se spoléhají na bezpečnostní nedostatky, které výrobci mobilních operačních systémů, jako Apple a Google, pravidelně opravují.
V reálném světě, pokud by hacker manipuloval s veřejnou nabíjecí stanicí, by to pravděpodobně bylo součástí cíleného útoku na konkrétní osobu s vysokou hodnotou, a ne na běžného člověka, který si potřebuje dobít telefon při cestě do práce.
Zásady bezpečnosti
Cílem tohoto článku není podceňovat bezpečnostní rizika spojená s mobilními zařízeními. Chytré telefony se občas využívají k šíření malwaru. Byly zaznamenány i případy, kdy se telefony nakazily při připojení k počítači s nakaženým softwarem.
V článku agentury Reuters z roku 2016 Mikko Hypponen, známá tvář společnosti F-Secure, popisoval obzvláště nebezpečný malware pro Android, který ovlivnil evropského výrobce letadel.
„Hypponen zmínil, že nedávno mluvil se zástupcem evropského výrobce letadel, který uvedl, že každý týden čistí kokpity svých letadel od malwaru navrženého pro telefony s Androidem. Malware se do letadel dostal tak, že zaměstnanci továrny dobíjeli své telefony přes USB port v kokpitu,“ píše se v článku.
„Vzhledem k tomu, že letadlo používá jiný operační systém, samo o sobě se jím nenakazilo. Avšak virus se přenesl na další zařízení, která byla připojena k nabíječce.“
Domácí pojištění si nekupujeme proto, že očekáváme, že náš dům vyhoří, ale proto, že je potřeba plánovat i ten nejhorší možný scénář. Podobně byste měli uplatňovat rozumné bezpečnostní postupy při používání veřejných nabíjecích stanic. Kdykoli je to možné, upřednostněte standardní elektrickou zásuvku před USB portem. V opačném případě zvažte použití přenosné powerbanky. Můžete také nabíjet přenosnou powerbanku a z ní pak nabíjet telefon, čímž se vyhnete přímému připojení telefonu k veřejnému USB portu.
I když zdokumentované riziko není vysoké, je vždy lepší být opatrný než litovat. Hlavní zásadou je, abyste nepřipojovali své zařízení k USB portům, kterým nedůvěřujete.