如今,机场、快餐店甚至公交车都有USB充电站。但是这些公共港口安全吗?如果你使用了,你的手机或平板电脑会被黑吗?我们查过了!
一些专家发出了警告
一些专家认为,如果你使用过公共USB充电站,你应该注意。今年早些时候,IBM的精英渗透测试团队X-Force Red的研究人员发布了关于公共充电站相关风险的可怕警告。
X-Force Red负责威胁情报的副总裁凯莱布巴洛(Caleb Barlow)说,“插入一个公共USB接口,有点像在路边发现一把牙刷,然后决定把它塞进嘴里。”“你根本不知道那东西去哪儿了。”
巴洛指出,USB接口不仅能传输能量,还能在设备之间传输数据。
现代设备让你掌控一切。没有你的许可,他们不应该接受USB接口的数据——这就是为什么“相信这台电脑?”提示存在于iphone上。然而,安全漏洞提供了一种绕过这种保护的方法。如果你只是简单地把一块可靠的电源插到一个标准的电源接口上,那就不是真的。 不过,使用公共USB端口时,您需要依赖能够传输数据的连接。
通过一些技术手段,可以将USB接口武器化,并将恶意软件推送到连接的手机上。如果设备运行的是Android或较老版本的iOS,因此在安全更新方面落后,这种情况尤其严重。 这听起来很可怕,但这些警告是基于现实生活中的担忧吗?我挖得更深了才知道。
从理论到实践
那么,基于usb的移动设备攻击纯粹是理论上的吗?答案是明确的“不”。
长期以来,安全研究人员一直认为充电站是一个潜在的攻击载体。2011年,infosec的资深记者布莱恩·克雷布斯(Brian Krebs)甚至创造了“偷果汁”一词,来描述利用这一漏洞的行为。随着移动设备逐渐被大众接受,许多研究人员开始关注这一方面。
2011年,在Defcon安全大会的一个边缘活动“羊墙”(the Wall of Sheep)上部署了充电亭,一旦使用,就会在设备上弹出一个弹出窗口,警告用户接入不可信设备的危险。
两年后,在Blackhat USA的活动上,乔治亚理工学院的研究人员展示了一种工具,它可以伪装成充电站,并在运行最新版本iOS的设备上安装恶意软件。
我可以继续,但你懂的。最相关的问题是,“偷汁”的发现是否已经转化为现实世界的攻击。这就是事情变得有点模糊的地方。
理解风险
尽管“偷汁”是安全研究人员关注的一个热门领域,但几乎没有任何记录在案的攻击者将这种方法武器化的例子。大多数媒体报道的重点是来自高校和信息安全公司等机构的研究人员的概念验证。最有可能的原因是,将公共充电站武器化本来就很困难。
要黑进一个公共充电站,攻击者必须获得特定的硬件(如部署恶意软件的微型计算机)并安装它而不会被抓到。试着在繁忙的国际机场这样做,那里的乘客受到严密的检查,安检人员在办理登机手续时会没收螺丝刀等工具。成本和风险使得榨汁从根本上不适合针对普通大众的攻击。
还有一种观点认为,这些攻击的效率相对较低。它们只能感染插入充电插座的设备。此外,它们往往依赖于苹果(Apple)和谷歌等移动操作系统制造商定期修补的安全漏洞。
实际上,如果一个黑客篡改了一个公共充电站,这可能是针对高价值个人的有针对性的攻击的一部分,而不是需要在上班的路上窃取几个百分点的电池的通勤者。
安全第一
本文的目的不是淡化移动设备带来的安全风险。智能手机有时被用来传播恶意软件。也有一些手机在连接到电脑时被感染,而电脑中有恶意软件。
在2016年路透社的一篇文章中,F-Secure的代言人Mikko Hypponen描述了一种特别有害的Android恶意软件,它影响了一家欧洲飞机制造商。
Hypponen表示,他最近与一家欧洲飞机制造商进行了交谈,该公司表示,他们每周都会清理飞机驾驶舱中为Android手机设计的恶意软件。恶意软件之所以会传播到飞机上,只是因为工厂员工在驾驶舱内用USB接口给手机充电。”
“因为这架飞机运行的是另一种操作系统,所以它不会出事。但它会把病毒传给其他接入充电器的设备。”
你买家庭保险不是因为你预期你的房子会被烧毁,而是因为你必须为最坏的情况做准备。同样,当你使用电脑充电站时,你应该采取合理的预防措施。只要可能,使用标准的墙壁插座,而不是USB端口。否则,考虑给便携式电池充电,而不是你的设备。你还可以连接一个便携式电池,在手机充电时用它充电。换句话说,只要有可能,尽量避免将手机直接连接到任何公共USB端口。
尽管几乎没有记录在案的风险,但安全总比遗憾好。一般来说,避免将你的东西插入你不信任的USB端口。