Was ist „Juice Jacking“und sollte ich öffentliche Telefonladegeräte vermeiden?

Inhaltsverzeichnis:

Video: Was ist „Juice Jacking“und sollte ich öffentliche Telefonladegeräte vermeiden?

Video: Was ist „Juice Jacking“und sollte ich öffentliche Telefonladegeräte vermeiden?
Video: Warnung vor Google Drive - Das müsst ihr jetzt tun um eure Daten zu schützen 2024, März
Was ist „Juice Jacking“und sollte ich öffentliche Telefonladegeräte vermeiden?
Was ist „Juice Jacking“und sollte ich öffentliche Telefonladegeräte vermeiden?
Anonim
Image
Image

Ihr Smartphone muss aufgeladen werdennoch wieder und Sie sind meilenweit vom Ladegerät zu Hause; Dieser öffentliche Ladekiosk sieht vielversprechend aus - schließen Sie einfach Ihr Telefon an und holen Sie sich die süße, süße Energie, nach der Sie sich sehnen. Was könnte schief gehen, richtig? Dank der üblichen Merkmale des Hardware- und Softwaredesigns für Mobiltelefone können Sie einige Dinge lesen. Lesen Sie weiter, um mehr über Juice Jacking zu erfahren und wie Sie es vermeiden können.

Was genau ist Juice Jacking?

Unabhängig von der Art des modernen Smartphones - sei es ein Android-Gerät, ein iPhone oder ein BlackBerry - gibt es bei allen Handys ein gemeinsames Merkmal: Die Stromversorgung und der Datenstrom werden über dasselbe Kabel übertragen. Unabhängig davon, ob Sie jetzt die standardmäßige USB-MiniB-Verbindung oder die proprietären Kabel von Apple verwenden, ist dies die gleiche Situation: Das zum Aufladen des Akkus in Ihrem Telefon verwendete Kabel ist das gleiche, das Sie zum Übertragen und Synchronisieren Ihrer Daten verwenden.

Dieses Setup, Daten / Strom über dasselbe Kabel, bietet einen böswilligen Benutzer, der während des Ladevorgangs auf Ihr Telefon zugreifen kann. Wenn Sie das USB-Daten- / Stromkabel verwenden, um unberechtigt auf die Daten des Telefons zuzugreifen und / oder schädlichen Code auf das Gerät zu injizieren, spricht man von Juice Jacking.

Der Angriff kann so einfach wie eine Verletzung der Privatsphäre sein, bei der Ihr Telefon mit einem Computer verbunden ist, der sich im Ladegerät befindet, und Informationen wie private Fotos und Kontaktinformationen werden auf das schädliche Gerät übertragen. Der Angriff kann auch so invasiv sein wie eine Injektion von schädlichem Code direkt in Ihr Gerät. Auf der diesjährigen BlackHat-Sicherheitskonferenz präsentieren die Sicherheitsforscher Billy Lau, YeongJin Jang und Chengyu Song "MACTANS: Injektion von Malware in iOS-Geräte über schädliche Ladegeräte". Hier ein Auszug aus ihrer Präsentationszusammenfassung:

In this presentation, we demonstrate how an iOS device can be compromised within one minute of being plugged into a malicious charger. We first examine Apple’s existing security mechanisms to protect against arbitrary software installation, then describe how USB capabilities can be leveraged to bypass these defense mechanisms. To ensure persistence of the resulting infection, we show how an attacker can hide their software in the same way Apple hides its own built-in applications.

To demonstrate practical application of these vulnerabilities, we built a proof of concept malicious charger, called Mactans, using a BeagleBoard. This hardware was selected to demonstrate the ease with which innocent-looking, malicious USB chargers can be constructed. While Mactans was built with limited amount of time and a small budget, we also briefly consider what more motivated, well-funded adversaries could accomplish.

Mit preisgünstiger Standardhardware und einer eklatanten Sicherheitslücke konnten sie in weniger als einer Minute auf iOS-Geräte der aktuellen Generation zugreifen, obwohl Apple zahlreiche Sicherheitsvorkehrungen getroffen hat, um diese Art von Dingen zu vermeiden.

Diese Art des Exploits ist jedoch kaum ein neuer Schlag auf dem Sicherheitsradar. Auf der DEF CON 2011-Sicherheitskonferenz vor zwei Jahren bauten Forscher von Aires Security, Brian Markus, Joseph Mlodzianowski und Robert Rowley, einen Ladekiosk, um die Gefahren des Saftpressens zu demonstrieren und die Öffentlichkeit darauf aufmerksam zu machen, wie verwundbar ihre Handys waren Verbindung zu einem Kiosk: Das Bild oben wurde Benutzern angezeigt, nachdem sie sich in den bösartigen Kiosk geworfen hatten. Sogar Geräte, die angewiesen wurden, keine Daten zu koppeln oder gemeinsam zu nutzen, wurden häufig über den Aires Security Kiosk gefährdet.
Diese Art des Exploits ist jedoch kaum ein neuer Schlag auf dem Sicherheitsradar. Auf der DEF CON 2011-Sicherheitskonferenz vor zwei Jahren bauten Forscher von Aires Security, Brian Markus, Joseph Mlodzianowski und Robert Rowley, einen Ladekiosk, um die Gefahren des Saftpressens zu demonstrieren und die Öffentlichkeit darauf aufmerksam zu machen, wie verwundbar ihre Handys waren Verbindung zu einem Kiosk: Das Bild oben wurde Benutzern angezeigt, nachdem sie sich in den bösartigen Kiosk geworfen hatten. Sogar Geräte, die angewiesen wurden, keine Daten zu koppeln oder gemeinsam zu nutzen, wurden häufig über den Aires Security Kiosk gefährdet.

Noch besorgniserregender ist, dass der Kontakt mit einem bösartigen Kiosk zu einem anhaltenden Sicherheitsproblem führen kann, auch wenn nicht sofort bösartiger Code injiziert wird. In einem kürzlich erschienenen Artikel zum Thema hebt der Sicherheitsforscher Jonathan Zdziarski hervor, wie die Sicherheitsanfälligkeit beim iOS-Pairing bestehen bleibt und böswilligen Benutzern ein Fenster zu Ihrem Gerät bietet, auch wenn Sie nicht mehr mit dem Kiosk in Kontakt sind:

If you’re not familiar with how pairing works on your iPhone or iPad, this is the mechanism by which your desktop establishes a trusted relationship with your device so that iTunes, Xcode, or other tools can talk to it. Once a desktop machine has been paired, it can access a host of personal information on the device, including your address book, notes, photos, music collection, sms database, typing cache, and can even initiate a full backup of the phone. Once a device is paired, all of this and more can be accessed wirelessly at any time, regardless of whether you have WiFi sync turned on. A pairing lasts for the life of the file system: that is, once your iPhone or iPad is paired with another machine, that pairing relationship lasts until you restore the phone to a factory state.

Dieser Mechanismus, der die Verwendung Ihres iOS-Geräts schmerzlos und angenehm machen soll, kann einen recht schmerzhaften Zustand erzeugen: Der Kiosk, mit dem Sie gerade Ihr iPhone aufgeladen haben, kann theoretisch eine Wi-Fi-Nabelschnur an Ihrem iOS-Gerät aufrechterhalten, um auch nach dem weiteren Zugriff darauf zugreifen zu können Sie haben Ihr Telefon aus der Steckdose gezogen und sind in einen nahe gelegenen Flughafen-Sessel gefallen, um eine Runde (oder vierzig) Angry Birds zu spielen.

Wie besorgt sollte ich sein?

Wir bei How-To Geek sind alles andere als beunruhigend, und wir geben es Ihnen immer direkt weiter: Derzeit ist das Saftheben eine theoretische Bedrohung, und die Chancen, dass die USB-Ladeanschlüsse im Kiosk Ihres lokalen Flughafens tatsächlich ein Geheimnis sind Front für einen Daten-Siphoning und Malware-injizierenden Computer sind sehr niedrig. Dies bedeutet jedoch nicht, dass Sie nur mit den Schultern zucken und das reale Sicherheitsrisiko, das beim Anschließen Ihres Smartphones oder Tablets an ein unbekanntes Gerät besteht, sofort vergessen.
Wir bei How-To Geek sind alles andere als beunruhigend, und wir geben es Ihnen immer direkt weiter: Derzeit ist das Saftheben eine theoretische Bedrohung, und die Chancen, dass die USB-Ladeanschlüsse im Kiosk Ihres lokalen Flughafens tatsächlich ein Geheimnis sind Front für einen Daten-Siphoning und Malware-injizierenden Computer sind sehr niedrig. Dies bedeutet jedoch nicht, dass Sie nur mit den Schultern zucken und das reale Sicherheitsrisiko, das beim Anschließen Ihres Smartphones oder Tablets an ein unbekanntes Gerät besteht, sofort vergessen.

Vor einigen Jahren, als die Firefox-Erweiterung Firesheep in Sicherheitszirkeln von der Stadt gesprochen wurde, war dies genau die weitgehend theoretische, aber immer noch sehr reale Bedrohung einer einfachen Browsererweiterung, mit der Benutzer die Webservice-Benutzersitzungen anderer Benutzer auf der Website entführen können lokaler Wi-Fi-Knoten, der zu erheblichen Änderungen geführt hat. Endbenutzer nahmen die Sicherheit ihrer Browsersitzungen ernsthafter (mithilfe von Techniken wie Tunneln über ihre eigenen Internetverbindungen oder die Verbindung zu VPNs), und große Internetunternehmen nahmen wesentliche Sicherheitsänderungen vor (z. B. das Verschlüsseln der gesamten Browsersitzung und nicht nur der Anmeldung).

Wenn Sie die Benutzer auf die Gefahr von Juice-Jacking aufmerksam machen, verringern Sie die Wahrscheinlichkeit, dass die Leute Saft verpuffen, und erhöhen den Druck auf die Unternehmen, ihre Sicherheitspraktiken besser zu managen (es ist zum Beispiel großartig, dass sich Ihr iOS-Gerät so einfach paart macht die Benutzererfahrung reibungslos, aber die Auswirkungen einer Lebensdauerkopplung mit 100% Vertrauen in das gekoppelte Gerät sind sehr ernst.

Wie kann ich Juice Jacking vermeiden?

Image
Image

Obwohl das Entsaften von Säften nicht so weit verbreitet ist wie ein regelmäßiger Telefondiebstahl oder der Kontakt mit bösartigen Viren durch gefährdete Downloads, sollten Sie dennoch vernünftige Vorkehrungen treffen, um zu verhindern, dass Systeme auf schädliche Weise auf Ihre persönlichen Geräte zugreifen.Mit freundlicher Genehmigung von Exogear.

Die naheliegendsten Vorsichtsmaßnahmen betreffen einfach das Aufladen Ihres Telefons mit einem Fremdsystem:

Halten Sie Ihre Geräte bereit: Die naheliegendste Vorsichtsmaßnahme besteht darin, Ihr Mobilgerät aufzuladen. Machen Sie es sich zur Gewohnheit, Ihr Telefon zu Hause und im Büro aufzuladen, wenn Sie es nicht aktiv nutzen oder an Ihrem Schreibtisch sitzen und Ihre Arbeit erledigen. Je seltener Sie auf Reisen oder unterwegs eine rote 3% -Batterie anstarren, desto besser.

Tragen Sie ein persönliches Ladegerät: Ladegeräte sind so klein und leicht geworden, dass sie kaum mehr wiegen als das eigentliche USB-Kabel, mit dem sie verbunden sind. Stecken Sie ein Ladegerät in Ihre Tasche, damit Sie Ihr eigenes Telefon aufladen können und die Kontrolle über den Datenport behalten.

Tragen Sie eine Backup-Batterie: Ganz gleich, ob Sie einen vollen Ersatzakku (für Geräte, mit dem Sie den Akku physisch austauschen können) oder einen externen Reserveakku (wie dieser winzige Akku mit 2600 mAh) mitnehmen möchten, Sie können länger gehen, ohne dass Sie Ihr Telefon an einen Kiosk oder eine Steckdose anschließen müssen.

Sie können nicht nur sicherstellen, dass Ihr Telefon über einen vollen Akku verfügt, sondern auch weitere Softwaretechniken, die Sie verwenden können (obwohl Sie sich vorstellen können, dass diese nicht ideal sind und aufgrund des sich ständig weiterentwickelnden Wettrüstens der Sicherheitsanwendungen nicht garantiert funktionieren). Daher können wir keine dieser Techniken wirklich als wirklich effektiv befürworten, aber sie sind sicherlich effektiver als nichts zu tun.

Sperren Sie Ihr Telefon: Wenn Ihr Telefon gesperrt, wirklich gesperrt und ohne Eingabe einer PIN oder eines entsprechenden Zugangscodes nicht erreichbar ist, kann es nicht mit dem Gerät verbunden werden, mit dem es verbunden ist. iOS-Geräte koppeln nur, wenn sie nicht gesperrt sind. Wie bereits erwähnt, erfolgt die Kopplung jedoch innerhalb von Sekunden. Sie sollten also sicherstellen, dass das Telefon wirklich gesperrt ist.

Schalten Sie das Telefon aus: Diese Technik funktioniert nur für ein Telefonmodell auf Telefonbasis, da einige Telefone trotz Ausschalten immer noch den gesamten USB-Stromkreis mit Strom versorgen und den Zugriff auf den Flash-Speicher im Gerät ermöglichen.

Deaktivieren Sie das Pairing (nur bei Jailbroken-iOS-Geräten): Jonathan Zdziarski, der zuvor in diesem Artikel erwähnt wurde, hat eine kleine Anwendung für jailbroken iOS-Geräte veröffentlicht, mit der der Endbenutzer das Paarungsverhalten des Geräts steuern kann. Ihr Antrag, PairLock, finden Sie im Cydia Store und hier.

Eine letzte Technik, die Sie verwenden können, ist zwar effektiv, aber unpraktisch, wenn Sie ein USB-Kabel verwenden, bei dem die Datenleitungen entweder entfernt oder kurzgeschlossen sind. Als reine Stromkabel verkauft, fehlen bei diesen Kabeln die beiden für die Datenübertragung erforderlichen Drähte und es bleiben nur die beiden Drähte für die Stromübertragung übrig. Ein Nachteil der Verwendung eines solchen Kabels ist jedoch, dass Ihr Gerät normalerweise langsamer aufgeladen wird, da moderne Ladegeräte die Datenkanäle verwenden, um mit dem Gerät zu kommunizieren und einen geeigneten maximalen Übertragungsschwellwert festzulegen (wenn diese Kommunikation nicht erfolgt, wird das Ladegerät standardmäßig verwendet) die niedrigste sichere Schwelle).

Die beste Verteidigung gegen ein kompromittiertes mobiles Gerät ist das Bewusstsein. Halten Sie Ihr Gerät aufgeladen, aktivieren Sie die Sicherheitsfunktionen des Betriebssystems (wissend, dass sie nicht narrensicher sind und jedes Sicherheitssystem ausgenutzt werden kann), und vermeiden Sie, Ihr Telefon an unbekannte Ladestationen und Computer anzuschließen von unbekannten Absendern.

Empfohlen: