Никогда не пользуйтесь чужим зарядником для смартфона. Ваши данные могут похитить
В чём опасность
Времена, когда смартфоны и планшеты имели отдельные разъёмы для зарядного устройства и передачи данных, давно прошли. Сейчас все гаджеты заряжаются через USB-кабели, которые передают и информацию, и электроэнергию. Это удобно и практично, но такое положение вещей открывает кибервзломщикам новые возможности.
На ежегодной конференции DEF CON взломщик по имени Майк Гровер, известный под псевдонимом MG, показал созданный им поддельный кабель Apple Lightning для iPhone. По виду его не отличить от обычного, однако внутри специальный чип с модулем беспроводной связи.
Он выглядит как оригинальный кабель и работает так же. Даже ваш компьютер не заметит никакой разницы. Пока я, злоумышленник, не возьму над ним контроль по беспроводной связи.
Майк Гровер в интервью Motherboard
После того как жертва подключит свой смартфон к компьютеру через поддельный кабель, хакер сможет получить полный доступ к системе. MG , что шнур одинаково работает с Windows, macOS и Linux, а также может использоваться для взлома мобильных устройств. Управлять таким гаджетом можно через приложение, написанное хакером.
И пусть владельцы Android не обольщаются: под угрозой не только iPhone.
Кабели Apple модифицировать сложнее всего. Поэтому, если мне удалось встроить чипы в них, то я с лёгкостью справлюсь и с другими зарядными устройствами.
Майк Гровер
Хакер может подключаться к смартфонам, в которые воткнули такой кабель, на расстоянии 90 метров. Но модифицированное устройство можно настроить и так, чтобы оно подключалось к ближайшей беспроводной сети, так что расстояние вообще может быть неограниченным.
Майк Гровер создал пробную партию кабелей под названием O.MG, которую успешно по 200 долларов за штуку. Примечательно, что все их он на собственной кухне буквально на коленке. В будущем Гровер намеревается поставить производство на поток и продавать свои кабели за 100 долларов всем желающим.
Updated blog to answer the most common questions on #OMGCable: https://t.co/Zd8S5ckSEL
Highlights:
- Prototype owners can now apply to the private community.
- Those who want the production cables can sign up on @Hak5’s site: https://t.co/mVYIMD3v7g
— _MG_ (@_MG_) August 12, 2019
Майк Гровер не единственный, кто догадался использовать для взлома поддельные USB-кабели. Год назад Кевин Митник аналогичное устройство под названием USBHarpoon, выглядящее как обычный зарядный шнур. Принцип действия его тот же.
Винсент Ю, коллега Митника, показал, как работает USBHarpoon. Он подзарядил свой беспилотник от ноутбука через скомпрометированный USB-кабель, и тот немедленно начал выполнять на компьютере заложенные в нём команды.
Подобные истории не новы. У хакеров даже появилось жаргонное выражение Juice Jacking — «выжимание сока». Вы свой телефон по USB к одной из общественных зарядных станций, модифицированных хакером, и на ваше устройство передаётся зловредный код.
Подключиться к общедоступному USB-порту — это всё равно что найти зубную щётку на обочине дороги и засунуть её себе в рот. Вы же понятия не имеете, где эта штука побывала.
Калеб Барлоу
вице-президент X-Force Threat Intelligence в IBM Security
Ещё в 2011 году на конференции DEF CON Брайан Маркус, президент Aires Security, зарядную USB-станцию, созданную им с коллегами. Она воровала с подключавшихся к ней смартфонов личные данные пользователей, контакты, переписку, ПИН-коды, пароли и даже интимные фотографии.
Прототип этой станции тогда на DEF CON три с половиной дня, и 360 ничего не подозревающих посетителей подключались к нему. Нет ничего проще, чем установить такую же штуковину в гостинице, супермаркете или аэропорту.
Как защититься
Существуют переходники USB Condom, которые призваны защитить устройства от заражения вредоносным кодом и кражи данных. Однако Майк Гровер продемонстрировал, что его кабелю они не страшны.
#3 — BadUSB Cables wouldn’t be complete without BadUSB Condoms.
Tempted to get a run of these made for the vendor area at the next security con. pic.twitter.com/Iq8HHSV7qG
— _MG_ (@_MG_) January 13, 2018
Что же делать?
- Пользуйтесь только своим кабелем от смартфона. Оригинальным, созданным производителем устройства.
- Если необходимо подзарядиться, подключайтесь не к другим гаджетам через USB, а к розеткам при помощи специального адаптера. Специалист из Authentic8 Дрю Пайк , что они точно безопасны.
- Не подключайтесь к общественным зарядным станциям.
Соблюдайте эти нехитрые правила, и даже если среди ваших знакомых затесался хакер, он вам ничего не сделает.
Как сделать жизнь в своём районе комфортнее: 6 простых способов
ИГРА: Настоящие чемпионы. Найдите своего идеального союзника в мире еды
Семейный туризм без перегруза: как организовать отдых и куда поехать с детьми в России
7 мифов об уколах для похудения