Är Offentliga USB-Laddningsstationer Verkligen Säkra?
Idag är det vanligt att stöta på USB-laddningsstationer på flygplatser, snabbmatsrestauranger och till och med bussar. Men hur säkra är dessa allmänt tillgängliga portar egentligen? Finns det en risk att din telefon eller surfplatta kan hackas när du använder dem? Vi har granskat saken närmare för att ge dig klarhet.
Varningar från Säkerhetsexperter
Flera säkerhetsexperter har uttryckt oro kring användningen av offentliga USB-laddningsstationer. Forskare från IBM:s X-Force Red, en expertgrupp inom penetrationstestning, publicerade tidigare i år allvarliga varningar om potentiella risker med dessa stationer.
Caleb Barlow, vice vd för hotintelligens på X-Force Red, liknar användningen av en offentlig USB-port med att ”hitta en tandborste vid vägkanten och bestämma sig för att stoppa den i munnen. Du har ingen aning om var den har varit.”
Barlow betonar att USB-portar inte bara överför ström utan även data mellan enheter. Moderna enheter är vanligtvis konstruerade för att kräva användarens godkännande innan dataöverföring tillåts, vilket är anledningen till att iPhones visar en varning om ”Lita på den här datorn?”. Trots detta kan en säkerhetsbrist ge en väg runt detta skydd. Detta är inte ett problem när du använder en pålitlig laddare i ett vanligt eluttag, men med en offentlig USB-port kan det finnas en anslutning som potentiellt kan transportera data.
Med viss teknisk skicklighet kan en USB-port riggas för att skicka skadlig programvara till en ansluten telefon. Detta är särskilt sant om enheten kör Android eller en äldre version av iOS och därför har en ökad sårbarhet på grund av att den kanske inte har de senaste säkerhetsuppdateringarna.
Dessa varningar kan låta skrämmande, men är de verkligen baserade på verkliga hot? Vi har undersökt detta noggrannare.
Från Teori till Verklighet
Är USB-attacker mot mobila enheter bara teoretiska? Svaret är ett klart nej. Säkerhetsforskare har länge betraktat laddningsstationer som en potentiell ingångspunkt för attacker. Redan 2011 myntade journalisten inom IT-säkerhet, Brian Krebs, termen ”juice jacking” för att beskriva hur sådana exploateringar kan gå till. I takt med att användningen av mobila enheter har ökat har många forskare fokuserat mer på detta område.
Under 2011 skapade Wall of Sheep, ett event på säkerhetskonferensen Defcon, laddningsstationer som vid användning visade en varning på enheten om riskerna med att ansluta till okända enheter. Två år senare demonstrerade forskare från Georgia Tech ett verktyg som kunde maskera sig som en laddningsstation och installera skadlig programvara på en enhet med den senaste versionen av iOS.
Det finns flera exempel på hur detta skulle kunna fungera. Den viktigaste frågan är om ”juice jacking” har översatts till attacker i den verkliga världen. Här blir det lite mer komplicerat.
Förstå Risknivån
Trots att ”juice jacking” är ett område som säkerhetsforskare ofta fokuserar på, finns det få faktiska dokumenterade exempel på attacker där detta tillvägagångssätt har använts. Det mesta av mediebevakningen handlar om forskning från universitet och företag inom IT-säkerhet. Det är sannolikt att det är svårt att praktiskt genomföra en sådan attack på en allmän laddstation.
För att hacka en offentlig laddstation krävs att angriparen skaffar specifik utrustning, som till exempel en minidator, för att sprida skadlig programvara, och att installera den utan att upptäckas. Tänk dig att försöka göra detta på en fullsatt internationell flygplats, där säkerhetskontrollen är noggrann och verktyg som skruvmejslar konfiskeras. Kostnaden och risken gör ”juice jacking” mindre lämpat för attacker som riktar sig mot allmänheten.
Ett annat argument är att dessa attacker är relativt ineffektiva. De kan bara infektera enheter som ansluts till den manipulerade laddningsporten. De är också beroende av säkerhetsbrister som tillverkare av mobila operativsystem, som Apple och Google, kontinuerligt åtgärdar.
I praktiken är det mer sannolikt att en hackare som manipulerar en offentlig laddstation gör det som en del av en riktad attack mot en högt uppsatt person, och inte mot vanliga resenärer.
Säkerhet Först
Det är viktigt att inte ignorera säkerhetsriskerna som finns med mobila enheter. Smartphones kan användas för att sprida skadlig programvara, och det har även hänt att telefoner har blivit infekterade genom att vara anslutna till datorer som har skadlig programvara.
I en artikel från Reuters år 2016 beskrev Mikko Hypponen, en säkerhetsexpert från F-Secure, en skadlig programvara för Android som påverkade en europeisk flygplanstillverkare.
”Hypponen berättade att han nyligen hade pratat med en europeisk flygplanstillverkare som varje vecka rensar cockpitarna på sina flygplan från skadlig programvara avsedd för Android-telefoner. Skadlig programvara spreds till flygplanen eftersom fabriksanställda hade laddat sina telefoner med USB-portarna i cockpiten”, stod det i artikeln.
”Eftersom flygplanet körde ett annat operativsystem påverkades det inte, men viruset spreds vidare till andra enheter som anslöts till laddaren.”
Du tecknar en hemförsäkring inte för att du räknar med att ditt hus ska brinna, utan för att du måste vara beredd på det värsta. På samma sätt bör du ta försiktighetsåtgärder när du använder offentliga laddningsstationer. Om möjligt, använd ett vanligt vägguttag istället för en USB-port. Du kan även använda ett bärbart batteri. Du kan också koppla in ett bärbart batteri och ladda din telefon från det medan batteriet laddas. Med andra ord, försök att undvika att ansluta din telefon direkt till offentliga USB-portar när det går.
Även om risken inte är så stor är det alltid bäst att vara på den säkra sidan. Generellt sett bör du undvika att ansluta dina enheter till USB-portar som du inte litar på.