2024 Autor: Peter John Melton | [email protected]. Zuletzt bearbeitet: 2023-12-16 04:41
Ihr Smartphone muss aufgeladen werdennoch wieder und Sie sind meilenweit vom Ladegerät zu Hause; Dieser öffentliche Ladekiosk sieht vielversprechend aus - schließen Sie einfach Ihr Telefon an und holen Sie sich die süße, süße Energie, nach der Sie sich sehnen. Was könnte schief gehen, richtig? Dank der üblichen Merkmale des Hardware- und Softwaredesigns für Mobiltelefone können Sie einige Dinge lesen. Lesen Sie weiter, um mehr über Juice Jacking zu erfahren und wie Sie es vermeiden können.
Was genau ist Juice Jacking?
Unabhängig von der Art des modernen Smartphones - sei es ein Android-Gerät, ein iPhone oder ein BlackBerry - gibt es bei allen Handys ein gemeinsames Merkmal: Die Stromversorgung und der Datenstrom werden über dasselbe Kabel übertragen. Unabhängig davon, ob Sie jetzt die standardmäßige USB-MiniB-Verbindung oder die proprietären Kabel von Apple verwenden, ist dies die gleiche Situation: Das zum Aufladen des Akkus in Ihrem Telefon verwendete Kabel ist das gleiche, das Sie zum Übertragen und Synchronisieren Ihrer Daten verwenden.
Dieses Setup, Daten / Strom über dasselbe Kabel, bietet einen böswilligen Benutzer, der während des Ladevorgangs auf Ihr Telefon zugreifen kann. Wenn Sie das USB-Daten- / Stromkabel verwenden, um unberechtigt auf die Daten des Telefons zuzugreifen und / oder schädlichen Code auf das Gerät zu injizieren, spricht man von Juice Jacking.
Der Angriff kann so einfach wie eine Verletzung der Privatsphäre sein, bei der Ihr Telefon mit einem Computer verbunden ist, der sich im Ladegerät befindet, und Informationen wie private Fotos und Kontaktinformationen werden auf das schädliche Gerät übertragen. Der Angriff kann auch so invasiv sein wie eine Injektion von schädlichem Code direkt in Ihr Gerät. Auf der diesjährigen BlackHat-Sicherheitskonferenz präsentieren die Sicherheitsforscher Billy Lau, YeongJin Jang und Chengyu Song "MACTANS: Injektion von Malware in iOS-Geräte über schädliche Ladegeräte". Hier ein Auszug aus ihrer Präsentationszusammenfassung:
In this presentation, we demonstrate how an iOS device can be compromised within one minute of being plugged into a malicious charger. We first examine Apple’s existing security mechanisms to protect against arbitrary software installation, then describe how USB capabilities can be leveraged to bypass these defense mechanisms. To ensure persistence of the resulting infection, we show how an attacker can hide their software in the same way Apple hides its own built-in applications.
To demonstrate practical application of these vulnerabilities, we built a proof of concept malicious charger, called Mactans, using a BeagleBoard. This hardware was selected to demonstrate the ease with which innocent-looking, malicious USB chargers can be constructed. While Mactans was built with limited amount of time and a small budget, we also briefly consider what more motivated, well-funded adversaries could accomplish.
Mit preisgünstiger Standardhardware und einer eklatanten Sicherheitslücke konnten sie in weniger als einer Minute auf iOS-Geräte der aktuellen Generation zugreifen, obwohl Apple zahlreiche Sicherheitsvorkehrungen getroffen hat, um diese Art von Dingen zu vermeiden.
Noch besorgniserregender ist, dass der Kontakt mit einem bösartigen Kiosk zu einem anhaltenden Sicherheitsproblem führen kann, auch wenn nicht sofort bösartiger Code injiziert wird. In einem kürzlich erschienenen Artikel zum Thema hebt der Sicherheitsforscher Jonathan Zdziarski hervor, wie die Sicherheitsanfälligkeit beim iOS-Pairing bestehen bleibt und böswilligen Benutzern ein Fenster zu Ihrem Gerät bietet, auch wenn Sie nicht mehr mit dem Kiosk in Kontakt sind:
If you’re not familiar with how pairing works on your iPhone or iPad, this is the mechanism by which your desktop establishes a trusted relationship with your device so that iTunes, Xcode, or other tools can talk to it. Once a desktop machine has been paired, it can access a host of personal information on the device, including your address book, notes, photos, music collection, sms database, typing cache, and can even initiate a full backup of the phone. Once a device is paired, all of this and more can be accessed wirelessly at any time, regardless of whether you have WiFi sync turned on. A pairing lasts for the life of the file system: that is, once your iPhone or iPad is paired with another machine, that pairing relationship lasts until you restore the phone to a factory state.
Dieser Mechanismus, der die Verwendung Ihres iOS-Geräts schmerzlos und angenehm machen soll, kann einen recht schmerzhaften Zustand erzeugen: Der Kiosk, mit dem Sie gerade Ihr iPhone aufgeladen haben, kann theoretisch eine Wi-Fi-Nabelschnur an Ihrem iOS-Gerät aufrechterhalten, um auch nach dem weiteren Zugriff darauf zugreifen zu können Sie haben Ihr Telefon aus der Steckdose gezogen und sind in einen nahe gelegenen Flughafen-Sessel gefallen, um eine Runde (oder vierzig) Angry Birds zu spielen.
Wie besorgt sollte ich sein?
Vor einigen Jahren, als die Firefox-Erweiterung Firesheep in Sicherheitszirkeln von der Stadt gesprochen wurde, war dies genau die weitgehend theoretische, aber immer noch sehr reale Bedrohung einer einfachen Browsererweiterung, mit der Benutzer die Webservice-Benutzersitzungen anderer Benutzer auf der Website entführen können lokaler Wi-Fi-Knoten, der zu erheblichen Änderungen geführt hat. Endbenutzer nahmen die Sicherheit ihrer Browsersitzungen ernsthafter (mithilfe von Techniken wie Tunneln über ihre eigenen Internetverbindungen oder die Verbindung zu VPNs), und große Internetunternehmen nahmen wesentliche Sicherheitsänderungen vor (z. B. das Verschlüsseln der gesamten Browsersitzung und nicht nur der Anmeldung).
Wenn Sie die Benutzer auf die Gefahr von Juice-Jacking aufmerksam machen, verringern Sie die Wahrscheinlichkeit, dass die Leute Saft verpuffen, und erhöhen den Druck auf die Unternehmen, ihre Sicherheitspraktiken besser zu managen (es ist zum Beispiel großartig, dass sich Ihr iOS-Gerät so einfach paart macht die Benutzererfahrung reibungslos, aber die Auswirkungen einer Lebensdauerkopplung mit 100% Vertrauen in das gekoppelte Gerät sind sehr ernst.
Wie kann ich Juice Jacking vermeiden?
Obwohl das Entsaften von Säften nicht so weit verbreitet ist wie ein regelmäßiger Telefondiebstahl oder der Kontakt mit bösartigen Viren durch gefährdete Downloads, sollten Sie dennoch vernünftige Vorkehrungen treffen, um zu verhindern, dass Systeme auf schädliche Weise auf Ihre persönlichen Geräte zugreifen.Mit freundlicher Genehmigung von Exogear.
Die naheliegendsten Vorsichtsmaßnahmen betreffen einfach das Aufladen Ihres Telefons mit einem Fremdsystem:
Halten Sie Ihre Geräte bereit: Die naheliegendste Vorsichtsmaßnahme besteht darin, Ihr Mobilgerät aufzuladen. Machen Sie es sich zur Gewohnheit, Ihr Telefon zu Hause und im Büro aufzuladen, wenn Sie es nicht aktiv nutzen oder an Ihrem Schreibtisch sitzen und Ihre Arbeit erledigen. Je seltener Sie auf Reisen oder unterwegs eine rote 3% -Batterie anstarren, desto besser.
Tragen Sie ein persönliches Ladegerät: Ladegeräte sind so klein und leicht geworden, dass sie kaum mehr wiegen als das eigentliche USB-Kabel, mit dem sie verbunden sind. Stecken Sie ein Ladegerät in Ihre Tasche, damit Sie Ihr eigenes Telefon aufladen können und die Kontrolle über den Datenport behalten.
Tragen Sie eine Backup-Batterie: Ganz gleich, ob Sie einen vollen Ersatzakku (für Geräte, mit dem Sie den Akku physisch austauschen können) oder einen externen Reserveakku (wie dieser winzige Akku mit 2600 mAh) mitnehmen möchten, Sie können länger gehen, ohne dass Sie Ihr Telefon an einen Kiosk oder eine Steckdose anschließen müssen.
Sie können nicht nur sicherstellen, dass Ihr Telefon über einen vollen Akku verfügt, sondern auch weitere Softwaretechniken, die Sie verwenden können (obwohl Sie sich vorstellen können, dass diese nicht ideal sind und aufgrund des sich ständig weiterentwickelnden Wettrüstens der Sicherheitsanwendungen nicht garantiert funktionieren). Daher können wir keine dieser Techniken wirklich als wirklich effektiv befürworten, aber sie sind sicherlich effektiver als nichts zu tun.
Sperren Sie Ihr Telefon: Wenn Ihr Telefon gesperrt, wirklich gesperrt und ohne Eingabe einer PIN oder eines entsprechenden Zugangscodes nicht erreichbar ist, kann es nicht mit dem Gerät verbunden werden, mit dem es verbunden ist. iOS-Geräte koppeln nur, wenn sie nicht gesperrt sind. Wie bereits erwähnt, erfolgt die Kopplung jedoch innerhalb von Sekunden. Sie sollten also sicherstellen, dass das Telefon wirklich gesperrt ist.
Schalten Sie das Telefon aus: Diese Technik funktioniert nur für ein Telefonmodell auf Telefonbasis, da einige Telefone trotz Ausschalten immer noch den gesamten USB-Stromkreis mit Strom versorgen und den Zugriff auf den Flash-Speicher im Gerät ermöglichen.
Deaktivieren Sie das Pairing (nur bei Jailbroken-iOS-Geräten): Jonathan Zdziarski, der zuvor in diesem Artikel erwähnt wurde, hat eine kleine Anwendung für jailbroken iOS-Geräte veröffentlicht, mit der der Endbenutzer das Paarungsverhalten des Geräts steuern kann. Ihr Antrag, PairLock, finden Sie im Cydia Store und hier.
Eine letzte Technik, die Sie verwenden können, ist zwar effektiv, aber unpraktisch, wenn Sie ein USB-Kabel verwenden, bei dem die Datenleitungen entweder entfernt oder kurzgeschlossen sind. Als reine Stromkabel verkauft, fehlen bei diesen Kabeln die beiden für die Datenübertragung erforderlichen Drähte und es bleiben nur die beiden Drähte für die Stromübertragung übrig. Ein Nachteil der Verwendung eines solchen Kabels ist jedoch, dass Ihr Gerät normalerweise langsamer aufgeladen wird, da moderne Ladegeräte die Datenkanäle verwenden, um mit dem Gerät zu kommunizieren und einen geeigneten maximalen Übertragungsschwellwert festzulegen (wenn diese Kommunikation nicht erfolgt, wird das Ladegerät standardmäßig verwendet) die niedrigste sichere Schwelle).
Die beste Verteidigung gegen ein kompromittiertes mobiles Gerät ist das Bewusstsein. Halten Sie Ihr Gerät aufgeladen, aktivieren Sie die Sicherheitsfunktionen des Betriebssystems (wissend, dass sie nicht narrensicher sind und jedes Sicherheitssystem ausgenutzt werden kann), und vermeiden Sie, Ihr Telefon an unbekannte Ladestationen und Computer anzuschließen von unbekannten Absendern.
Empfohlen:
Was ist der "Lite" -Modus von Google Maps und sollte ich ihn verwenden?
Wenn Sie bemerkt haben, dass Google Maps auf Ihrem Computer häufig schleppend läuft oder abstürzt, ist es möglicherweise an der Zeit, die eigene Lite-Version des Dienstes von Google zu testen, um zu sehen, ob sie besser zu den Spezifikationen Ihres Computers passt.
Sollte ich mein Chromecast entfernen, wenn ich es nicht benutze?
Neue Geräte leiten neue Fragen ein und der Aufstieg von Chromecast (und anderen HDMI-Sticks) macht mehr als ein paar Leute neugierig, ob sie den Stecker ziehen sollten, wenn sie ihn nicht benutzen. Lassen Sie uns die Dinge klären und den Streaming-Aufwand minimieren.
Warum kann ich meinem Heimnetzwerk öffentliche IPv4- und IPv6-Adressen zuweisen?
Während Sie davon ausgehen, dass Ihrem Standort eine IPv4-Adresse zugewiesen ist, sind Sie möglicherweise überrascht, auch eine IPv6-Adresse zu finden, die Ihnen zugewiesen wurde. Warum werden Ihnen beide Typen gleichzeitig zugewiesen? Der heutige Q & A-Beitrag von SuperUser enthält die Antwort auf eine Frage des neugierigen Lesers.
Was ist Juice Jacking und wie Sie es verhindern und Ihr Smartphone schützen können
Seien Sie vorsichtig, wenn Sie Smartphones oder Mobilgeräte an öffentlichen USB-Ports von Flughäfen usw. aufladen, da Cyber-Angriffe von Juice Jacking Ihre Daten stehlen können.
Sollte ich Ransomware melden? Wo melde ich Ransomware?
Ransomware - Soll ich bezahlen oder nicht? Sollte ich Ransomware melden? Wo melde ich Ransomware an das FBI, die Polizei oder die zuständigen Behörden? Lesen Sie hier die Diskussion.