Ніколи не користуйтеся чужими зарядник для смартфона. Ваші дані можуть викрасти

Заповзятливий хакер робить USB-кабелі для злому комп’ютерів і мобільних пристроїв. Їх може придбати будь-який бажаючий.

У чому небезпека

Часи, коли смартфони і планшети мали окремі роз’єм для зарядного пристрою і передачі даних, давно пройшли. Зараз всі гаджети заряджаються через USB-кабелі, які передають і інформацію, і електроенергію. Це зручно і практично, але таке положення речей відкриває кибервзломщикам нові можливості.

На щорічній конференції DEF CON зломщик на ім’я Майк Гровер, відомий під псевдонімом MG, показав створений ним підроблений кабель Apple Lightning для iPhone. По виду його не відрізнити від звичайного, проте всередині захований These Legit-Looking iPhone Lightning Cables Will Hijack Your Computer спеціальний чіп з модулем бездротового зв’язку.

Він виглядає як оригінальний кабель і працює так само. Навіть ваш комп’ютер не помітить різниці. Поки я, зловмисник, не візьму над ним контроль по бездротовому зв’язку.

Майк Гровер в інтерв’ю Motherboard

Після того як жертва підключить свій смартфон до комп’ютера через підроблений кабель, хакер зможе отримати повний доступ до системи. MG стверджує Twitter-аккаунт MG , що шнур однаково працює з Windows, macOS і Linux, а також може використовуватися для злому мобільних пристроїв. Управляти таким гаджетом можна через додаток, написаний хакером.

І нехай власники Android не спокушаються: під загрозою не лише iPhone.

Кабелі Apple модифікувати складніше всього. Тому, якщо мені вдалося вбудувати чіпи в них, то я з легкістю впораюся з іншими зарядними пристроями.

Майк Гровер

Хакер може підключатися до смартфонів, в які встромили такий кабель, на відстані 90 метрів. Але модифікований пристрій можна налаштувати так, щоб воно підключався до найближчої бездротової мережі, так що відстань взагалі може бути необмеженим.

Майк Гровер створив пробну партію кабелів під назвою O. MG, яку успішно розпродав Prototype O. MG Cable with early access по 200 доларів за штуку. Примітно, що всі їх він зібрав Twitter-аккаунт MG на власній кухні буквально на коліні. В майбутньому Гровер має намір поставити виробництво на потік і продавати свої кабелі за 100 доларів всім бажаючим.

Updated blog to answer the most common questions on #OMGCable: https://t.co/Zd8S5ckSEL

Highlights:

— Prototype owners can now apply to the private community.

— Those who want the production cables can sign up on @Hak5’s site: https://t.co/mVYIMD3v7g

— _MG_ (@_MG_) August 12, 2019

Майк Гровер не єдиний, хто здогадався використовувати для злому підроблені USB-кабелі. Рік тому Кевін Митник розробив USBHarpoon Is a BadUSB Attack with A Twist аналогічний пристрій під назвою USBHarpoon, виглядає як звичайний зарядний шнур. Принцип дії той же.

Вінсент Ю, колега Митника, показав, як працює USBHarpoon. Він подзарядил свій безпілотник від ноутбука через скомпрометований USB-кабель, і той негайно почав виконувати на комп’ютері закладені в ньому команди.

Подібні історії не нові. У хакерів навіть з’явилося жаргонний вираз Juice Jacking — «вижимання соку». Ви підключаєте Juice Jacking: Phone Charging свій телефон через USB до однієї з громадських зарядних станцій, модифікованих хакером, і на ваш пристрій передається злобливий код.

Підключитися до спільного USB-порту — це все одно що знайти зубну щітку на узбіччі дороги і засунути його собі в рот. Ви поняття не маєте, де ця штука побувала.

Калеб Барлоу, віце-президент X-Force Threat Intelligence в IBM Security

Ще в 2011 році на конференції DEF CON Брайан Маркус, президент Aires Security, продемонстрував How Juice Jacking Works and Why it’s a Threat зарядну USB-станцію, створену ним з колегами. Вона крала з подключавшихся до неї смартфонів особисті дані користувачів, контакти, листування, ПІН-коди, паролі і навіть інтимні фотографії.

Прототип цієї станції тоді простояв Beware of Juice-Jacking на DEF CON три з половиною дні, і 360 нічого непідозрюючих відвідувачів підключалися до нього. Немає нічого простіше, ніж встановити таку штуковину в готелі, супермаркеті або аеропорту.

Як захиститися

Існують перехідники USB Condom, які покликані захистити пристрій від зараження шкідливим кодом і крадіжки даних. Проте Майк Гровер продемонстрував, що його кабелю вони не страшні.

#3 — BadUSB Cables wouldn’t be complete without BadUSB Condoms.

Tempted to get a run of these made for the vendor area at the next security con. pic.twitter.com/Iq8HHSV7qG

— _MG_ (@_MG_) January 13, 2018

Що ж робити?

  • Користуйтеся тільки своїм кабелем від смартфона. Оригінальним, створеним виробником пристрою.
  • Якщо необхідно підзарядитися, не підключайтеся до інших гаджетам через USB, а до розеток за допомогою спеціального адаптера. Фахівець з Authentic8 Дрю Пайк стверджує Free charging stations can hack your phone, here’s how to protect yourself , що вони безпечні.
  • Не підключайтеся до громадським зарядних станцій.

Дотримуйтесь цих простих правил, і навіть якщо серед ваших знайомих затесався хакер, він вам нічого не зробить.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

code