Nuförtiden har flygplatser, snabbmatsrestauranger och till och med bussar USB-laddningsstationer. Men är dessa offentliga hamnar säkra? Om du använder en, kan din telefon eller surfplatta hackas? Vi kollade upp det!
Innehållsförteckning
Vissa experter har slagit larm
Vissa experter tycker att du bör vara orolig om du har använt en offentlig USB-laddningsstation. Tidigare i år, forskare från IBM:s elitgrupp för penetrationstestning, X-Force Red, utfärdat allvarliga varningar om riskerna med offentliga laddstationer.
”Att ansluta till en offentlig USB-port är ungefär som att hitta en tandborste vid sidan av vägen och bestämma sig för att stoppa den i munnen”, säger Caleb Barlow, vicepresident för hotintelligens på X-Force Red. ”Du har ingen aning om var den saken har varit.”
Barlow påpekar att USB-portar inte bara förmedlar ström, de överför också data mellan enheter.
Moderna enheter ger dig kontroll. Det är inte meningen att de ska acceptera data från en USB-port utan din tillåtelse – det är därför ”Trusta på den här datorn?” prompt finns på iPhones. Ett säkerhetshål erbjuder dock en väg runt detta skydd. Det stämmer inte om du bara ansluter en pålitlig kraftkloss till en vanlig elektrisk port. Med en offentlig USB-port är du dock beroende av en anslutning som kan bära data.
Med lite teknisk list är det möjligt att beväpna en USB-port och skicka skadlig programvara till en ansluten telefon. Detta gäller särskilt om enheten kör Android eller en äldre version av iOS och därför ligger efter med sina säkerhetsuppdateringar.
Allt låter skrämmande, men är dessa varningar baserade på oro i verkligheten? Jag grävde djupare för att ta reda på det.
Från teori till praktik
Så, är USB-baserade attacker mot mobila enheter rent teoretiska? Svaret är ett entydigt nej.
Säkerhetsforskare har länge betraktat laddstationer som en potentiell attackvektor. Under 2011, veteran infosec journalist, Brian Krebs, till och med myntade termen ”juice jacking” att beskriva bedrifter som utnyttjar det. I takt med att mobila enheter har gått mot massadoption har många forskare fokuserat på denna ena aspekt.
Under 2011 installerade Wall of Sheep, en randhändelse vid Defcons säkerhetskonferens, laddningsbås som, när de användes, skapade en pop-up på enheten som varnade för farorna med att ansluta till opålitliga enheter.
Två år senare, vid Blackhat USA-evenemanget, forskare från Georgia Tech visade ett verktyg som kan maskera sig som en laddstation och installera skadlig programvara på en enhet som kör den då senaste versionen av iOS.
Jag skulle kunna fortsätta, men ni förstår. Den mest relevanta frågan är om upptäckten av ”Juice Jacking” har översatts till verkliga attacker. Det är här det blir lite grumligt.
Förstå risken
Trots att ”juice jacking” är ett populärt fokusområde för säkerhetsforskare, finns det knappt några dokumenterade exempel på angripare som vapenat tillvägagångssättet. Det mesta av mediabevakningen fokuserar på proof-of-concept från forskare som arbetar för institutioner, som universitet och informationssäkerhetsföretag. Troligtvis beror detta på att det i sig är svårt att beväpna en offentlig laddstation.
För att hacka en offentlig laddstation måste angriparen skaffa specifik hårdvara (som en miniatyrdator för att distribuera skadlig programvara) och installera den utan att fastna. Försök att göra det på en hektisk internationell flygplats, där passagerare är under intensiv granskning och säkerheten beslagtar verktyg, som skruvmejslar, vid incheckningen. Kostnaden och risken gör juicejacking i grunden illa lämpad för attacker riktade mot allmänheten.
Det finns också argumentet att dessa attacker är relativt ineffektiva. De kan bara infektera enheter som är anslutna till ett laddningsuttag. Dessutom förlitar de sig ofta på säkerhetshål som tillverkare av mobiloperativsystem, som Apple och Google, regelbundet korrigerar.
Realistiskt sett, om en hackare manipulerar med en offentlig laddstation, är det troligtvis en del av en riktad attack mot en högvärdig individ, inte en pendlare som behöver ta några batteriprocentenheter på väg till jobbet.
Säkerheten först
Det är inte avsikten med den här artikeln att tona ned säkerhetsriskerna med mobila enheter. Smartphones används ibland för att sprida skadlig programvara. Det har också förekommit fall av telefoner som har blivit infekterade när de är anslutna till en dator som innehåller skadlig programvara.
I en artikel från Reuters 2016, Mikko Hypponen, som faktiskt är F-Secures ansikte utåt, beskrev en särskilt skadlig stam av skadlig programvara för Android som påverkade en europeisk flygplanstillverkare.
”Hypponen sa att han nyligen hade pratat med en europeisk flygplanstillverkare som sa att den rensar cockpiterna på sina plan varje vecka från skadlig programvara designad för Android-telefoner. Skadlig programvara spreds till flygplanen bara för att fabriksanställda laddade sina telefoner med USB-porten i cockpiten”, stod det i artikeln.
”Eftersom planet kör ett annat operativsystem skulle ingenting hända det. Men det skulle föra viruset vidare till andra enheter som är anslutna till laddaren.”
Du köper en hemförsäkring inte för att du förväntar dig att ditt hus ska brinna ner, utan för att du måste planera för det värsta scenariot. På samma sätt bör du vidta förnuftiga försiktighetsåtgärder när du använder datorladdningsstationer. När det är möjligt, använd ett vanligt vägguttag istället för en USB-port. Annars kan du överväga att ladda ett bärbart batteri istället för din enhet. Du kan också ansluta ett bärbart batteri och ladda din telefon från det medan den laddas. Med andra ord, när det är möjligt, undvik att ansluta din telefon direkt till några offentliga USB-portar.
Även om det finns få dokumenterade risker är det alltid bättre att vara säker än ledsen. Som en allmän regel bör du undvika att ansluta dina saker till USB-portar som du inte litar på.