I disse dage har lufthavne, fastfood-restauranter og endda busser USB-ladestationer. Men er disse offentlige havne sikre? Hvis du bruger en, kan din telefon eller tablet blive hacket? Vi tjekkede det ud!
Indholdsfortegnelse
Nogle eksperter har slået alarm
Nogle eksperter mener, at du skal være bekymret, hvis du har brugt en offentlig USB-ladestation. Tidligere i år har forskere fra IBM’s elite-penetrationstesthold, X-Force Red, udstedt alvorlige advarsler om risici forbundet med offentlige ladestandere.
“At tilslutte til en offentlig USB-port er lidt som at finde en tandbørste i siden af vejen og beslutte at stikke den i munden,” sagde Caleb Barlow, vicepræsident for trusselsefterretning hos X-Force Red. “Du aner ikke, hvor den ting har været.”
Barlow påpeger, at USB-porte ikke kun overfører strøm, de overfører også data mellem enheder.
Moderne enheder giver dig kontrol. Det er ikke meningen, at de skal acceptere data fra en USB-port uden din tilladelse – det er derfor “Stol på denne computer?” prompt findes på iPhones. Et sikkerhedshul tilbyder dog en vej uden om denne beskyttelse. Det er ikke sandt, hvis du blot tilslutter en pålidelig strømklods til en standard elektrisk port. Med en offentlig USB-port er du dog afhængig af en forbindelse, der kan bære data.
Med en smule teknologisk list er det muligt at våben en USB-port og skubbe malware til en tilsluttet telefon. Dette gælder især, hvis enheden kører Android eller en ældre version af iOS, og derfor er bagud med sine sikkerhedsopdateringer.
Det lyder alt sammen skræmmende, men er disse advarsler baseret på bekymringer fra det virkelige liv? Jeg gravede dybere for at finde ud af det.
Fra teori til praksis
Så er USB-baserede angreb mod mobile enheder rent teoretiske? Svaret er et entydigt nej.
Sikkerhedsforskere har længe betragtet ladestationer som en potentiel angrebsvektor. I 2011, veteran infosec journalist, Brian Krebs, endda opfandt udtrykket “juice jacking” at beskrive udnyttelser, der udnytter det. Efterhånden som mobile enheder har bevæget sig mod masseadoption, har mange forskere fokuseret på denne ene facet.
I 2011 indsatte The Wall of Sheep, en randbegivenhed på Defcons sikkerhedskonference, ladestandere, der, når de blev brugt, skabte en pop-up på enheden, der advarede om farerne ved at tilslutte til upålidelige enheder.
To år senere, ved Blackhat USA-begivenheden, forskere fra Georgia Tech demonstrerede et værktøj der kunne udgive sig som en ladestation og installere malware på en enhed, der kører den dengang nyeste version af iOS.
Jeg kunne fortsætte, men du forstår. Det mest relevante spørgsmål er, om opdagelsen af ”Juice Jacking” har oversat til angreb fra den virkelige verden. Det er her, tingene bliver lidt grumsete.
Forståelse af risikoen
På trods af at “juice jacking” er et populært fokusområde for sikkerhedsforskere, er der næppe dokumenterede eksempler på, at angribere har bevæbnet tilgangen. Det meste af mediedækningen fokuserer på proof-of-concept fra forskere, der arbejder for institutioner, såsom universiteter og informationssikkerhedsfirmaer. Det skyldes højst sandsynligt, at det i sagens natur er svært at bevæbne en offentlig ladestation.
For at hacke en offentlig ladestation skal angriberen anskaffe specifik hardware (såsom en miniaturecomputer til at implementere malware) og installere den uden at blive fanget. Prøv at gøre det i en travl international lufthavn, hvor passagerer er under intens kontrol, og sikkerheden konfiskerer værktøjer, såsom skruetrækkere, ved check-in. Omkostningerne og risikoen gør juice jacking fundamentalt uegnet til angreb rettet mod den brede offentlighed.
Der er også argumentet om, at disse angreb er relativt ineffektive. De kan kun inficere enheder, der er tilsluttet en opladningsstik. Desuden er de ofte afhængige af sikkerhedshuller, som producenter af mobile operativsystemer, som Apple og Google, jævnligt retter.
Realistisk set, hvis en hacker manipulerer med en offentlig ladestation, er det sandsynligvis en del af et målrettet angreb mod en person af høj værdi, ikke en pendler, der skal have fat i et par batteriprocentpoint på vej til arbejde.
Sikkerhed først
Det er ikke hensigten med denne artikel at bagatellisere de sikkerhedsrisici, som mobile enheder udgør. Smartphones bruges nogle gange til at sprede malware. Der har også været tilfælde af, at telefoner er blevet inficeret, mens de er tilsluttet en computer, der indeholder skadelig software.
I en Reuters-artikel fra 2016, Mikko Hypponen, som faktisk er F-Secures offentlige ansigt, beskrev en særlig skadelig stamme af Android-malware som påvirkede en europæisk flyproducent.
“Hypponen sagde, at han for nylig havde talt med en europæisk flyproducent, der sagde, at den renser cockpitterne på sine fly hver uge for malware designet til Android-telefoner. Malwaren spredte sig kun til flyene, fordi fabriksansatte opladede deres telefoner med USB-porten i cockpittet,” stod der i artiklen.
“Fordi flyet kører et andet operativsystem, ville der ikke være noget over det. Men det ville sende virussen videre til andre enheder, der sluttede til opladeren.”
Du køber en husforsikring, ikke fordi du forventer, at dit hus brænder ned, men fordi du skal planlægge det værst tænkelige scenario. På samme måde bør du tage fornuftige forholdsregler, når du bruger computerladestationer. Når det er muligt, skal du bruge en standard vægstik i stedet for en USB-port. Ellers kan du overveje at oplade et bærbart batteri i stedet for din enhed. Du kan også tilslutte et bærbart batteri og oplade din telefon fra det, mens det oplades. Med andre ord, når det er muligt, undgå at forbinde din telefon direkte til offentlige USB-porte.
Selvom der er lidt dokumenteret risiko, er det altid bedre at være sikker end undskyld. Som en generel regel skal du undgå at tilslutte dine ting til USB-porte, du ikke har tillid til.