V dnešní době mají letiště, restaurace rychlého občerstvení a dokonce i autobusy nabíjecí stanice USB. Jsou ale tyto veřejné přístavy bezpečné? Pokud jej používáte, mohl by být váš telefon nebo tablet napaden? Prověřili jsme to!
Table of Contents
Někteří odborníci spustili poplach
Někteří odborníci se domnívají, že byste si měli dělat starosti, pokud jste použili veřejnou nabíjecí stanici USB. Začátkem tohoto roku výzkumníci z elitního týmu IBM pro testování penetrace, X-Force Red, vydal hrozivá varování o rizicích spojených s veřejnými dobíjecími stanicemi.
„Připojení k veřejnému USB portu je něco jako najít zubní kartáček na kraji silnice a rozhodnout se, že si ho strčíte do úst,“ řekl Caleb Barlow, viceprezident pro zpravodajství o hrozbách ve společnosti X-Force Red. „Nemáš ponětí, kde ta věc byla.“
Barlow poukazuje na to, že porty USB nepřenášejí pouze energii, ale také přenášejí data mezi zařízeními.
Moderní zařízení vám umožňují ovládat. Neměli by přijímat data z USB portu bez vašeho svolení – to je důvod, proč „Trust This Computer?“ výzva existuje na iPhonech. Bezpečnostní díra však nabízí způsob, jak tuto ochranu obejít. To není pravda, pokud jednoduše zapojíte důvěryhodnou napájecí kostku do standardního elektrického portu. S veřejným portem USB se však spoléháte na připojení, které může přenášet data.
S trochou technologické mazanosti je možné vyzbrojit USB port a poslat malware do připojeného telefonu. To platí zejména v případě, že zařízení používá Android nebo starší verzi iOS, a proto zaostává za aktualizacemi zabezpečení.
Všechno to zní děsivě, ale jsou tato varování založena na skutečných obavách? Kopal jsem hlouběji, abych to zjistil.
Od teorie k praxi
Jsou tedy útoky na mobilní zařízení založené na USB čistě teoretické? Odpověď je jednoznačné ne.
Bezpečnostní výzkumníci dlouho považovali nabíjecí stanice za potenciální vektor útoku. V roce 2011, veterán infosec novinář, Brian Krebs, dokonce vymyslel termín „juice jacking“ popsat exploity, které toho využívají. Vzhledem k tomu, že mobilní zařízení postupují směrem k masovému přijetí, mnoho výzkumníků se zaměřilo na tento jeden aspekt.
V roce 2011 Wall of Sheep, okrajová událost na bezpečnostní konferenci Defcon, nasadila nabíjecí boxy, které při použití vytvořily na zařízení vyskakovací okno, které varovalo před nebezpečím připojení k nedůvěryhodným zařízením.
O dva roky později, na akci Blackhat USA, výzkumníci z Georgia Tech předvedli nástroj které by se mohly maskovat jako nabíjecí stanice a instalovat malware do zařízení s nejnovější verzí iOS.
Mohl bych pokračovat, ale rozumíte tomu. Nejrelevantnější otázkou je, zda se objev „Juice Jacking“ promítl do skutečných útoků. Tady se věci trochu zatemňují.
Pochopení rizika
Navzdory tomu, že „juice jacking“ je oblíbenou oblastí zájmu bezpečnostních výzkumníků, neexistují téměř žádné zdokumentované příklady útočníků, kteří by tento přístup použili jako zbraň. Většina mediálního pokrytí se zaměřuje na proofs-of-concept od výzkumníků, kteří pracují pro instituce, jako jsou univerzity a firmy zabývající se bezpečností informací. S největší pravděpodobností je to proto, že je ze své podstaty obtížné vyzbrojit veřejnou nabíjecí stanici.
K hacknutí veřejné nabíjecí stanice by útočník musel získat specifický hardware (například miniaturní počítač pro nasazení malwaru) a nainstalovat jej, aniž by byl přistižen. Zkuste to udělat na rušném mezinárodním letišti, kde jsou cestující pod intenzivním dohledem a ochranka při odbavení zabavuje nástroje, jako jsou šroubováky. Kvůli ceně a riziku je juice jacking zásadně nevhodný pro útoky zaměřené na širokou veřejnost.
Existuje také argument, že tyto útoky jsou relativně neefektivní. Mohou infikovat pouze zařízení, která jsou zapojena do nabíjecí zásuvky. Navíc se často spoléhají na bezpečnostní díry, které výrobci mobilních operačních systémů, jako je Apple a Google, pravidelně opravují.
Realisticky, pokud hacker manipuluje s veřejnou nabíjecí stanicí, je to pravděpodobně součást cíleného útoku proti vysoce hodnotnému jedinci, nikoli dojíždějícímu, který potřebuje získat pár procent baterie na cestě do práce.
Bezpečnost především
Není záměrem tohoto článku zlehčovat bezpečnostní rizika, která mobilní zařízení představují. K šíření malwaru se někdy používají chytré telefony. Vyskytly se také případy, kdy byly telefony infikovány při připojení k počítači, který ukrývá škodlivý software.
V článku agentury Reuters z roku 2016 Mikko Hypponen, který je fakticky veřejnou tváří F-Secure, popsal zvláště zhoubný kmen malwaru pro Android která ovlivnila evropského výrobce letadel.
„Hypponen řekl, že nedávno mluvil s evropským výrobcem letadel, který řekl, že každý týden čistí kokpity svých letadel od malwaru navrženého pro telefony Android. Malware se do letadel rozšířil jen proto, že zaměstnanci továrny nabíjeli své telefony přes USB port v kokpitu,“ stálo v článku.
„Protože letadlo používá jiný operační systém, nic by se mu nestalo.“ Virus by ale přenesl na další zařízení, která se připojila k nabíječce.“
Pojištění domácnosti si nekupujete proto, že očekáváte, že váš dům shoří, ale proto, že musíte plánovat nejhorší možný scénář. Podobně byste měli přijmout rozumná opatření, když používáte počítačové nabíjecí stanice. Kdykoli je to možné, použijte raději standardní zásuvku než port USB. V opačném případě zvažte nabíjení přenosné baterie, nikoli vašeho zařízení. Můžete také připojit přenosnou baterii a nabíjet z ní telefon během nabíjení. Jinými slovy, kdykoli je to možné, nepřipojujte telefon přímo k veřejným portům USB.
I když existuje jen malé zdokumentované riziko, vždy je lepší být v bezpečí, než litovat. Obecným pravidlem je, že se vyhněte zapojování věcí do portů USB, kterým nedůvěřujete.