hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
18 kwietnia 2023

(nie)Bezpieczne publiczne ładowarki

Nie podłączajcie swoich urządzeń mobilnych do publicznych ładowarek! – krzyczały w ubiegłym tygodniu medialne tytuły. Nic dziwnego, skoro zalecenie wystosowało samo FBI, legendarny organ ścigania. Rzecz w tym, że o ile temat „juicejackingu” znany jest od 2011 roku, przez 12 ostatnich lat technologie (w tym bezpieczeństwo) poszły nieco do przodu…

Skąd nazwa „juicejacking”? To mieszanka angielskiego juice (sok, w tym kontekście slangowe określenie prądu, ładującego urządzenie) i hijacking (porwanie). I o ile samo „porwanie prądu” nie byłoby wielkim problemem (poza tym, że urządzenie wciąż nie byłoby naładowane) to już przejęcie kontroli nad połączeniem np. telefonu z diabli-wiedzą-czym po drugiej stronie może potencjalnie stanowić duże ryzyko. Przy miniaturyzacji technologii umieszczenie po drugiego stronie gniazdka złośliwego elementu na urządzeniu podpinanym do ładowarki, nie stanowi żadnego problemu. Próba instalacji malware’u, podsłuchiwanie danych, wyciąganie informacji podczas ładowania, zapisywanie ich i przesyłanie później, czy też wysyłanie na bieżąco, a nawet interakcja na bieżąco z zainfekowanym urządzeniem przez siedzącego kilka metrów dalej z komputerem złego człowieka? To absolutnie wykonalne! Ale czy realne? To już inna sprawa.

Google i Apple nie przespali ostatnich lat!

Nie będziemy wymieniać zmian w zakresie bezpieczeństwa, które przez lata główni aktorzy wprowadzili w swoich systemach operacyjnych. Zajęłoby to stanowczo zbyt dużo miejsca i nie dałoby się tego czytać. Więc może inaczej:

Kiedy ostatnio podłączaliście urządzenie mobilne do komputera?

Pamiętacie, co wtedy się działo? Od co najmniej kilku lat (i głównych wersji mobilnych systemów operacyjnych) da się wchodzić w interakcję ze smartfonem (może to oczywiście być również tablet, ale dla uproszczenia będziemy używać określeń telefon/smartfon) dopiero po potwierdzeniu charakteru aktywności (lub zaufaniu na stałe komputerowi) na ekranie telefonu. Ładowanie dzieje się oczywiście domyślnie (dlatego przy podpięciu do sieciowej ładowarki telefon o nic nie pyta). Jeśli jednak na lotnisku, w autobusie, czy przy multimedialnej ławce podepniemy kabel do gniazdka, potem do smartfonu, a ten nagle zapyta nas: „Czy chcesz przesyłać zdjęcia, czy może transferować pliki?” nietrudno się domyślić, że coś może być (i zapewne jest!) nie tak.

To w końcu podpinać, czy nie podpinać?

Jak brzmi dyżurna odpowiedź na kwestie związane z bezpieczeństwem? Pierwsza: „absolutnie nie!”, ale tę – jak wynika z treści – wykluczyliśmy. Pozostaje więc druga: „to zależy”. O ile bowiem programową interakcję z naszym urządzeniem mobilnym jesteśmy w stanie wykluczyć, podłączając je do nieznanego gniazdka nie mamy np. pewności, co do… parametrów prądu! Tak więc:

  • Jeśli absolutnie i bezapelacyjnie nie musisz podłączać telefonu w nowym miejscu – nie rób tego. Skoro nie trzeba, to po co kusić licho?
  • Jeśli musisz, ale masz przy sobie powerbank – użyj go.
    • Jeśli powerbank jest nienaładowany/niedoładowany – naładuj jego i to z niego ładuj telefon.
  • Jeśli nie masz/nie nosisz/nie możesz korzystać z powerbanka – wyposaż się w kabel wyłącznie do ładowania.
    • W przypadku kabla z „dużym” USB wpinanym do ładowarki łatwo to sprawdzisz – wyłącznie dwa zewnętrzne PINy będą wyglądały normalnie, pozostałe dwa będą puste lub pokryte nieprzewodzącym prądu materiałem.
  • Jeśli musisz, ale nie masz powerbanka, a kabel obsługuje również transmisję danych, obowiązkowo obserwuj powiadomienia na ekranie telefonu.
    • Gdyby pojawił się monit o wybór interakcji i/lub zaufanie „komputerowi” – odłącz przewód, nie korzystaj z tego gniazda, jeśli możesz, zgłoś ten fakt osobom odpowiedzialnym za miejsce ładowania.

Akurat to ostatnie to rada, dotycząca bezpieczeństwa w sieci, którą można zalecić przy absolutnie każdej sytuacji. Zawsze patrz, co pojawia się na ekranie. Nigdy nie klikaj na pamięć, odruchowo. Nawet jeśli to kolejny, męczący monit – nigdy nie wiesz, który okaże się tym kluczowym!

No i przede wszystkim, nawet mimo tego, że ryzyko padnięcia „ofiarą publicznej ładowarki” jest niskie:

Jeśli nie musisz czegoś robić – nie rób tego!

https://twitter.com/Rockki20/status/1644072289116504064

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

16 maja 2024
Phishing, na który może złapać się każdy
Dowiedz się więcej
13 maja 2024
Raport CERT Orange Polska: 2023 rokiem AgentTesla
Dowiedz się więcej
8 maja 2024
Fałszywy Kamsoft – kampania phishingowa
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas