Czy można włamać się do telefonu używając publicznych ładowarek?
Czy da się wykraść dane z telefonu jeśli skorzystasz z publicznej ładowarki?
Opublikowano 27.02.2023 07:40
Juice jacking
Możesz natrafić na ostrzeżenia aby nie korzystać z publicznych ładowarek do telefonów.
Gdy zaczniesz szukać natrafisz na termin juice jacking i materiał NBC News. Pan z plecakiem pokazuje jak podgląda numer karty kredytowej osoby, która podłączyła się do ładowarki. Jak to możliwe?
Odpowiedź jak to działa znajdziesz w 2:55 filmu, gdzie pada magiczne słowo screen mirroring. Istnieje standard MHL. Pozwala na wyświetlanie obrazu z telefonu na telewizorze.
- Na kompatybilnych urządzeniach wystarczy kabel USB C -> HDMI.
- Starsze potrzebują dodatkowego zasilania - patrz obrazek.
- A na iPhone wymagana jest przejściówka ze złącza Lightning na cyfrowe AV.
Jeśli podłączysz taki kabel do swojego urządzenia to potencjalny atakujący widzi Twój ekran. Czy takie ataki mają miejsce w rzeczywistości? Osobiście nie słyszałem.
- Gdy wpisujemy hasła w przeglądarce to często są one automatycznie zamieniane na gwiazdki.
- Atakujący nie ma wpływu na to co wyświetlamy. Widzi tylko to samo co my.
- Jaka jest szansa, że akurat wtedy podasz gdzieś swój numer karty? Równie dobrze ktoś może go podglądnąć stojąc za Twoimi plecami - jeśli wyciągasz kartę w miejscu publicznym.
O.MG Cable
Kolejny możliwy wektor ataku to specjalne kable, które działają jak klawiatura. Wyglądają normalnie ale można do nich wysyłać komendy zdalnie.
Gdy telefon jest odblokowany ta "wirtualna klawiatura" może wykonać różne polecenia. Pod Androidem może na przykład:
- Otworzyć przeglądarkę
- Pobrać złośliwy plik
- Uruchomić go
- Skontaktować się z serwerem atakującego
- Uruchomić wybraną przez niego komendę
- Na przykład uruchomić kamerkę i zrobić zdjęcie
Jak to wygląda na żywo możesz sprawdzić w tym filmie na YouTube. Zauważ jednak, że instalacja trwa około 13 sekund. Użytkownik widzi wykonywane na ekranie komendy. Widzi więc, że coś otwiera przeglądarkę i próbuje zainstalować jakąś aplikację.
Co najważniejsze - to działa tylko, jeśli ekran jest odblokowany. Ten atak nie łamie automatycznie hasła użytkownika. To zwykła klawiatura.
Czyli:
- Atakujący musi kupić specjalny kabel, który nie jest tani.
- Musisz go podłączyć do swojego telefonu.
- Musisz odblokować telefon i na niego nie patrzeć.
- W tym czasie atakujący musi uruchomić cały proces.
Jeśli ładujesz telefon to albo:
- Blokujesz go i odkładasz obok siebie. Wtedy atak nie zadziała bo telefon jest zablokowany.
- Przeglądasz Internet. Atakujący musi liczyć, że w którymś momencie odwrócisz się na kilkadziesiąt sekund.
Pozostaje jeszcze kwestia tego, że zainstalowana aplikacja jest widoczna w systemie i możesz ją po prostu zauważyć.
Tryb transferu danych
Telefon po podłączeniu do komputera może wyświetlić na nim nasze dane. Ale w obecnych urządzeniach aby to zadziałało użytkownik najpierw musi wyrazić na to zgodę.
Na Androidzie da się zmienić standardowe ustawienia tak, aby telefon nie pytał o zgodę za każdym razem - ale wymaga to włączenia opcji programistycznych.
W tym trybie można też uruchomić debugowanie USB. Wtedy możliwe jest zarządzanie telefonem z poziomu komputera. Na przykład instalowanie nowych aplikacji. Ale:
- Trzeba to włączyć.
- Ta opcja jest ukryta w ustawieniach.
- Podczas jej uruchamiania telefon wyświetla ostrzeżenie, że jest to tryb przeznaczony wyłącznie do celów programistycznych.
Teoretycznie jest więc możliwe, że ktoś w publicznym miejscu postawi ładowarkę podpiętą do komputera i będzie tak próbował wykraść dane z naszego telefonu. Ale najpierw musi nas przekonać do wyrażenia zgody. Lub musi trafić na telefon z włączonym debugowaniem USB.
Co robić?
- Nie zmieniaj standardowej konfiguracji USB w telefonie. Ustawienie
tylko ładowaniepozwala tylko na ładowanie. Nie pozwala na przesyłanie plików. - Nie pozostawiaj włączonego trybu
debugowania USB- jeśli z niego nie korzystasz. - Używaj swojego kabla. Wtedy wiesz, że nie jest to kabel z końcówką HDMI. Oraz, że nie ma wbudowanej klawiatury.
- Jeśli nie masz innego wyjścia i nadal się obawiasz - po prostu zablokuj ekran/wyłącz telefon.
- Jeśli po podłączeniu kabla urządzenie zapyta Cię czy udostępnić dane - rozłącz się.
- Istnieją specjalne blokery USB. Blokują one transmisję danych i pozwalają tylko na ładowanie. Ale jeśli masz nosić coś takiego to równie dobrze możesz zabrać swój kabel.
PS. Poszukujesz szkolenia security awareness dla swojej firmy? Sprawdź moją ofertę.