В общем, подключение телефона к неизвестным устройствам или розеткам, таким как компьютер, устройства хранения данных или любой другой тип флэш-накопителя, не является безопасным шагом. А как насчет тех бесплатных зарядных станций, которые вы можете найти в аэропортах или киосках в общественных местах, некоторые из которых даже взимают символическую плату? Ну, технически это рискованный выбор. Как же так? Вот уже десять лет ведутся жаркие дебаты вокруг вектора атаки, называемого «джокджекингом». Вся идея заключается в том, что интерфейс USB, который, по-видимому, предназначен для зарядки телефонов и других электронных гаджетов, может быть использован хакерами для распространения вредоносного ПО для вредоносной деятельности.
Лучший путь вперед — избегать таких зарядных устройств. Но никогда не знаешь, когда окажешься в ситуации, когда твой телефон вот-вот разрядится, и ты не сможешь найти розетку для зарядки. Или просто нет под рукой комплекта для зарядки. Для таких сценариев эксперты рекомендуют блокировщики USB, такие как этот накопитель Offgrid стоимостью 15 долларов. Вы также можете найти USB-накопители с блокировкой данных, которые стоят почти вдвое дешевле. В качестве альтернативы вы можете приобрести специализированные кабели, такие как этот от Plugable, в которых отсутствуют линии передачи данных, но которые поддерживают потребляемую мощность до 240 Вт.
Их единственная цель — обеспечить, чтобы ничего, кроме электроэнергии, не проходило через интерфейс USB. Проще говоря, если злоумышленники модифицировали порт(ы) USB на зарядной станции, этот порт не сможет передавать поврежденные данные на ваш телефон. Вместо этого вся функциональность USB-ключа будет сосредоточена на простой передаче питания и зарядке вашего устройства.
Обманчиво простой вектор угрозы
В 2011 году на известной конференции DefCon два эксперта по кибербезопасности продемонстрировали уязвимость USB-розеток для зарядки. Два эксперта установили на площадке бесплатный зарядный киоск, и более 300 посетителей подключили к нему свои телефоны, но были встречены предупреждающим сообщением. «Если я смогу воплотить это в жизнь и обмануть сотни и сотни ведущих профессионалов по всему миру, заставив их использовать это, тогда, я думаю, среднестатистический гражданин в округе купится на это», — сказал Vox один из экспертов, стоящих за этой идеей.
Фундаментальная идея взлома устройств заключается в том, что USB-устройства — накопители и кабели — служат двойной цели. Они могут передавать электроэнергию, а также обеспечивать двустороннюю передачу данных. В последнем случае риски поднимают голову. До сих пор не поступало никаких сообщений о массовой эксплуатации или злоупотреблении общедоступными USB-зарядными станциями для распространения вредоносного ПО, но угроза, похоже, сохраняется. И когда правительства штатов, районные администрации и фирмы, занимающиеся кибербезопасностью, начинают отмечать риски, лучше перестраховаться, чем сожалеть после того, как ущерб уже нанесен.
Около двух лет назад Федеральное бюро расследований (ФБР) выпустило предупреждение об использовании общественных зарядных станций в аэропортах, ресторанах и транспортных узлах. «Злоумышленники нашли способы использовать общедоступные USB-порты для внедрения на устройства вредоносных программ и программного обеспечения для мониторинга», — пишет агентство. За прошедшие годы Apple создала систему, которая позволяет передавать данные через USB-соединение только в том случае, если пользователи вручную назначают его как «доверенное» устройство. Устройства Android также по умолчанию работают в режиме только зарядки, если только пользователи не изменят поведение, чтобы разрешить передачу данных.
Много скептицизма, но лучше перестраховаться
Когда ФБР впервые выпустило предупреждение о рисках использования общественных зарядных станций, оно широко освещалось. Однако существует также много скептицизма в отношении реальных рисков. «Существует не так уж много доказательств того, что «кража сока» является широко распространенной проблемой», — сказал Slate Зульфикар Рамзан, главный научный сотрудник компании Aura, занимающейся кибербезопасностью потребителей. Энди Томпсон, евангелист кибербезопасности в CyberArk, также сообщил изданию, что чего-то вроде взлома сока не существует. Эксперты добавили, что это риск, если рассматривать его с точки зрения проверки концепции.
Проще говоря, это технически возможно и поэтому представляет собой реальную угрозу. Эксперт по кибербезопасности Майк Гровер сказал ArsTechnica, что «это не то, на что стоит обращать внимание широкой публике». Но то, что что-то технически осуществимо, не означает, что оно может быть использовано (или было использовано) для широкомасштабного хищения сока. Отсутствие доказательств или жертв, которые могут убедительно доказать, что атаки по вымогательству были направлены на них, довольно удивительно, особенно когда в дебаты вступают такие агентства, как ФБР и Федеральная комиссия по связи.
«Вредоносное ПО, установленное через поврежденный USB-порт, может заблокировать устройство или экспортировать личные данные и пароли непосредственно злоумышленнику», — говорится в уведомлении FCC. Однако сейчас веб-страница закрыта от публичного доступа, хотя вы все равно можете читать архивные версии. Когда издание обратилось к этим агентствам, оно не получило никаких подробностей о реальных случаях или жертвах кражи сока. В 2019 году прокуратура Лос-Анджелеса также выпустила аналогичное предупреждение, но когда TechCrunch спросил, был ли зафиксирован какой-либо зарегистрированный вред, прокуратура ответила, что не регистрировала ни одного реального случая. Но на всякий случай стоит потратить десять долларов или меньше, чтобы сохранить свой телефон в безопасности.
