Бизнес Сигурност

Опасно! Публични места за зареждане на мобилни телефони.

FreeChargingKiosk

Имате хубав мобилен телефон с 5 инчов дисплей, 8 ядрен процесор и поне 3 социални мрежи, следящи за ъпдейти едновременно, нали? Не знам как е положението при вас, но на нашите телефони, освен горепосочените мрежи, работят и около десет софтуера, свързани с работата ни. Плюс още толкова, които не са. И резултатът от това е, че около пет часа следобед в офиса започват преговори за служебното зарядно. Което е забавно и полезно, но не толкова красива е картината, когато сме на път и телефоните ни започнат да предупреждават, че ще ни изоставят всеки момент. Каква приятна изненада, че дори из София вече се появяват публични станции за зареждане на различни апарати – както Android-базирани, така и произведени от Apple! Абсолютен рай за всеки закъсал притежател на умен телефон.

И както можете да се досетите, има уловка.

На една от последните хакерски конференции DefCon в центъра на огромната зала, в която се провеждаше събитието, беше разположена голяма конзола, приканваща със светещи надписи хората с падащи батерии да заредят апаратите си там. За протокола – DefCon е форум, събиращ експерти по сигурност, хакери от всякакъв тип (добронамерени, злонамерени, корпоративни…) и огромен брой посетители, интересуващи се от информационна и кибер сигурност. На вратата на събитието посетителите биват надлежно информирани да стоят настрана от каквито и да е безжични мрежи и да не ползват банкоматите, намиращи на територията на събитието. Сещате се за какъв тип събитие става дума – няколко дни, през които се демонстрират десетки невиждани досега начини за непозволен достъп до информация, които на практика определят бъдещето на информационната сигурност за следващите месеци.

Въпреки това, съвсем не малко хора се “класираха” да заредят телефоните си в примамливата конзола с безплатен ток и накрайници за всички известни апарати! Светещите дисплеи на системата, разбира се, променяха цвета си от мамещо син в червен, когато някой включеше устройство в нея, уведомявайки потребителя, че “Не бива да вярвате на публични киоски, за да зареждате смартфона си. Информация може да бъде добита от трети лица или да бъде инжектирана в апарата ви. За Ваше щастие, тази конзола е етична и данните ви са непокътнати. Насладете се на безплатното зареждане!”

По-късно на същата конференция беше демонстрирано как точно може да се изгради система, която наистина да краде информация и инсталира вируси на апаратите, включени за зареждане в нея. Цената на подобно начинание варира между $10 (няма грешка, 10 долара!) и $80 в зависимост основно от това, дали злонамереният хакер иска данните да се изпращат до него през GSM мрежа или не. И може да се направи от абсолютно всеки, дори няма нужда човекът да знае от коя страна се хваща поялникът. Или пък може да се купи от ebay с няколко процента надценка.

MicroUSB

Длъжни сме да предупредим, че такава система може да е скрита не само в голяма конзола за зареждане на различни апарати, но и в обикновено изглеждащо зарядно.

Има, разбира се, методи за превенция на такива атаки, ако все пак ви се наложи да ползвате чуждо зарядно. Най-сигурният от тях е да държите телефона си изключен по време на зареждането. Даваме си сметка, че това е непосилно за почти всички хора със смартфони, но поне е сигурно.

А още по-сигурно е да не ползвате чужди, още по-малко – публични, зарядни. Още по време на въпросния DefCon изпълнителният директор на голяма корпорация е разпоредил по телефона всички служители на компанията му да носят със себе си оригинално зарядно и да ползват единствено него, когато е нужен ток на служебните устройства. И факт, адекватно зарядно струва между 30 и 100 лв., докато компрометирана корпоративна мрежа може да струва всичко.

About the author

Дамян Дешев

Предприемач, хакер, лектор и основател на Cyhat JSco.

2 Comments

Click here to post a comment

  • USB като цяло се неглижира от много потребители като канал, през който могат да се вкарат какви ли не гадинки в устройството. Повечето хора вече свикнаха да не отварят имейли от непознати податели, но малко ще се замислят, преди да проверят какво има на подхвърлена им флашка или пък да си зареят телефона чрез такава конзола. Поздравления за интересната тема!