דף הבית » איך ל » מהו מיץ גרב, ויש לי להימנע טלפון מטענים טלפון?

    מהו מיץ גרב, ויש לי להימנע טלפון מטענים טלפון?

    הטלפון החכם זקוק לטעינה עדיין שוב ואתה קילומטרים מן המטען בבית; כי קיוסק ציבורי הטעינה נראה די מבטיח - פשוט לחבר את הטלפון שלך ולקבל את המתוק, מתוק, אנרגיה לך להשתוקק. מה יכול להשתבש, נכון? הודות לתכונות נפוצות בחומרה של הטלפון הנייד ועיצוב התוכנה, לא מעט דברים לקרוא על מנת ללמוד עוד על מיץ jacking וכיצד ניתן למנוע את זה.

    מה בדיוק הוא מיץ ג 'ק?

    ללא קשר לסוג הטלפון החכם המודרני שיש לך - יהיה זה מכשיר Android, iPhone או BlackBerry - יש תכונה אחת נפוצה בכל הטלפונים: אספקת החשמל ונתונים זורמים על אותו כבל. בין אם אתה משתמש בחיבור USB MiniBD הרגיל או בכבלים הקנייניים של Apple, המצב זהה: הכבל המשמש לטעינת הסוללה בטלפון שלך הוא אותו כבל שבו אתה משתמש כדי להעביר ולסנכרן את הנתונים שלך.

    התקנה זו, נתונים / כוח על אותו כבל, מציעה וקטור גישה עבור משתמש זדוני כדי לקבל גישה לטלפון במהלך תהליך הטעינה; מינוף USB נתונים / כבל החשמל כדי לגשת באופן בלתי חוקי את נתוני הטלפון ו / או להזריק קוד זדוני על המכשיר ידוע בשם מיץ ג 'ק.

    ההתקפה יכולה להיות פשוטה כמו פלישה לפרטיות, שבה זוגות הטלפון שלך עם מחשב מוסתר בתוך קיוסק הטעינה ומידע כמו תמונות פרטיות ופרטי אנשי קשר מועברים להתקן זדוני. ההתקפה יכולה גם להיות פולשנית כמו הזרקת קוד זדוני ישירות לתוך המכשיר שלך. בכנס האבטחה של BlackHat השנה, חוקרים אבטחה בילי לאו, YeongJin Jang, ו Chengyu Song מציגים "MACTANS: הזרקת תוכנה זדונית לתוך מכשירי iOS באמצעות מטענים זדוניים", והנה קטע מתוך המופשט המצגת שלהם:

    במצגת זו, אנו מדגימים כיצד מכשיר iOS יכול להיות בסכנה בתוך דקה אחת של להיות מחובר לחשמל זדוני. תחילה אנו בודקים את מנגנוני האבטחה הקיימים של אפל כדי להגן מפני התקנת תוכנה שרירותית, ולאחר מכן מתארים כיצד יכולות USB להיות ממונפות כדי לעקוף מנגנוני הגנה אלה. כדי להבטיח התמדה של זיהום וכתוצאה מכך, אנו מראים כיצד תוקף יכול להסתיר את התוכנה שלהם באותו אופן אפל מסתיר יישומים מובנים שלה.

    כדי להדגים יישום מעשי של פגיעויות אלה, בנינו הוכחה של מטען זדוני קונספט, המכונה Mactans, באמצעות BeagleBoard. חומרה זו נבחרה כדי להדגים את הקלות שבה מטען USB זדוני למראה, זדוני יכול להיות בנוי. בעוד Mactans נבנה עם כמות מוגבלת של זמן ותקציב קטן, אנחנו גם בקצרה לשקול מה יותר מוטיבציה, היטב במימון יריבים יכול להשיג.

    באמצעות חומרה זולה מחוץ מדף פגיעות אבטחה בולטת, הם היו יכולים לקבל גישה למכשירי iOS הדור הנוכחי פחות מדקה, למרות אמצעי אבטחה רבים אפל יש לשים במקום במיוחד כדי למנוע את זה סוג של דבר.

    סוג זה של ניצול הוא כמעט לא פליפ חדש על המכ"ם הביטחון, עם זאת. לפני שנתיים בוועידה לביטחון של ה- DEF 2011, חוקרים מאירס סקיוריטי, בריאן מרקוס, ג'וזף מלוז'יאנובסקי ורוברט ראולי, הקימו קיוסק טעינה כדי להדגים באופן ספציפי את הסכנות של גניבת מיצים ולהזהיר את הציבור עד כמה הטלפונים הפגיעים שלהם היו כאשר מחובר לקיוסק - התמונה לעיל הוצגה למשתמשים לאחר שהם נכנסו לקיוסק הזדוני. אפילו מכשירים שהונחו לא לצרף או לשתף נתונים עדיין נפגעו לעיתים קרובות דרך קיוסק האבטחה של איירסק.

    מטרידה עוד יותר היא שחשיפה לקיוסק זדוני עלולה ליצור בעיית אבטחה מתמשכת גם ללא הזרקה מיידית של קוד זדוני. במאמר שפורסם לאחרונה בנושא, חוקר האבטחה ג'ונתן זדזיארסקי מדגיש כיצד פגיעות הזיווג ב- iOS מתמשכת ויכול להציע למשתמשים זדוניים חלון למכשיר שלך גם לאחר שאינך נמצא בקשר עם הקיוסק:

    אם אינך יודע כיצד פועל השיוך ב- iPhone או ב- iPad שלך, זהו המנגנון שבאמצעותו שולחן העבודה שלך יוצר מערכת יחסים אמינה עם המכשיר שלך כך ש- iTunes, Xcode או כלים אחרים יכולים לדבר איתו. לאחר מחשב שולחני כבר לזווג, הוא יכול לגשת שורה של מידע אישי על המכשיר, כולל פנקס הכתובות שלך, הערות, תמונות, אוסף מוסיקה, מסד נתונים SMS, מטמון הקלדת, והוא יכול גם ליזום גיבוי מלא של הטלפון. לאחר חיבור המכשיר, כל זה ועוד ניתן לגשת באופן אלחוטי בכל עת, ללא קשר אם יש לך סינכרון WiFi מופעלת. זיווג נמשך לאורך חיי מערכת הקבצים: כלומר, ברגע שה- iPhone או ה- iPad שלך משויכים למכונה אחרת, יחסי הקשר מתמשכים עד שתחזיר את הטלפון למצב של יצרן.

    מנגנון זה, שמטרתו להפוך את מכשיר ה- iOS ללא כאבים ומהנה, יכול למעשה ליצור מצב מכאיב למדי: הקיוסק שרק טענת את ה- iPhone שלך ​​יכול, באופן תיאורטי, לשמור על חבל הטבור של ה- Wi-Fi למכשיר ה- iOS שלך כדי להמשיך בגישה גם לאחר ניתקת את הטלפון שלך ושקעת לתוך כיסא נוח בשדה התעופה הסמוך כדי לשחק עגול (או ארבעים) של Angry Birds.

     כמה מודאג אני צריך להיות?

    אנחנו כאן משהו אבל מפחיד כאן ב How-To Geek, ואנחנו תמיד נותנים לך את זה ישר: כרגע מיץ jacking הוא איום תיאורטי במידה רבה, ואת הסיכויים כי טעינה USB יציאות בקיוסק בשדה התעופה המקומי הם למעשה סוד מלפנים עבור נתונים siphoning זדוניות הזרקת המחשב הם נמוכים מאוד. זה לא אומר, עם זאת, כי אתה פשוט צריך למשוך את הכתפיים שלך לשכוח מיד את הסיכון האמיתי מאוד אבטחה כי חיבור הטלפון החכם או הטאבלט שלך למצב לא ידוע תנוחות.

    לפני מספר שנים, כשהתוסף לפיירפוקס היה הדיבור על העיר בחוגי האבטחה, זה היה דווקא האיום התיאורטי, אך עדיין ממשי, של הרחבת דפדפן פשוטה, המאפשרת למשתמשים לחטוף את הפעלות המשתמשים באתר האינטרנט של משתמשים אחרים מקומי הצומת Wi-Fi שהוביל לשינויים משמעותיים. משתמשי הקצה התחילו להתייחס ברצינות רבה יותר לביטחון הגלישה שלהם (תוך שימוש בטכניקות כמו מנהור דרך חיבורי האינטרנט הביתיים שלהם או חיבור לרשתות VPN) וחברות האינטרנט הגדולות עשו שינויי אבטחה משמעותיים (כגון הצפנת כל הפגישה בדפדפן ולא רק ההתחברות).

    באופן מדויק זה, מה שהופך את המשתמשים מודעים לאיום של מיץ jacking הן מקטין את הסיכוי שאנשים יהיו מיץ ג 'קד ומגביר את הלחץ על חברות כדי לנהל טוב יותר את נוהלי האבטחה שלהם (זה נהדר, למשל, כי מכשיר ה- iOS שלך זוגות כל כך בקלות עושה את חווית המשתמש חלקה, אך ההשלכות של זיווג לכל החיים עם אמון של 100% במכשיר המשויך הן רציניות למדי).

    איך אני יכול להימנע מיץ ג 'ק?

    למרות שמיץ jacking אינו נפוץ כמו איום כמו גניבת טלפון גמור או חשיפה וירוסים זדוניים באמצעות הורדות בסכנה, אתה עדיין צריך לנקוט באמצעי זהירות הגיוניים, כדי למנוע חשיפה למערכות שעלולות לגשת זדוני התקנים אישיים שלך. תמונה באדיבות Exogear.

    אמצעי הזהירות הברור ביותר סביב סביב פשוט עושה את זה מיותר לחייב את הטלפון באמצעות מערכת צד שלישי:

    שמור על ההתקנים שלך כבוי: אמצעי זהירות ברור ביותר הוא לשמור על המכשיר הנייד שלך טעונה. הפוך אותו להרגל לחייב את הטלפון שלך בבית ובמשרד כאשר אתה לא פעיל משתמש בו או יושב ליד שולחן העבודה שלך עושה עבודה. כמה פעמים אתה מוצא את עצמך בוהה בסוללת 3% אדום הסוללה כאשר אתה נוסע או מהבית, יותר טוב.

    ביצוע מטען אישי: מטענים הפכו כל כך קטנים וקלים שהם בקושי שוקלים יותר מאשר כבל ה- USB בפועל הם מייחסים. לזרוק מטען בתיק שלך, כך שאתה יכול לחייב את הטלפון שלך ולשמור על שליטה על יציאת הנתונים.

    נשיאת סוללת גיבוי: בין אם תבחר לשאת סוללה חלופית מלאה (עבור התקנים שמאפשרים לך להחליף את הסוללה באופן פיזי) או סוללת רזרבה חיצונית (כמו זו של 2600mAh זעירה), תוכל לעבור זמן רב יותר ללא צורך לקשור את הטלפון לשקע קיוסק או שקע.

    בנוסף על מנת להבטיח את הטלפון שומר סוללה מלאה, יש טכניקות תוכנה נוספות אתה יכול להשתמש (אם כי, כפי שאתה יכול לדמיין, אלה הם פחות אידיאליים ולא מובטחת לעבוד בהתחשב במרוץ החימוש המתפתח כל הזמן של מנצל אבטחה). ככזה, אנחנו באמת לא יכולים לאשר את כל הטכניקות האלה כמו יעיל באמת, אבל הם בהחלט יעיל יותר מאשר לעשות כלום.

    נעל את הטלפון שלך: כאשר הטלפון נעול, נעול באמת ולא ניתן לגשת אליו ללא קלט של קוד PIN או קוד שווה, הטלפון שלך לא צריך להתאים עם המכשיר אליו הוא מחובר. מכשירי iOS יסתדרו רק כאשר לא נעולים - אך שוב, כפי שהודגשנו קודם, ההתאמה מתבצעת תוך שניות, לכן מוטב שתוודא שהטלפון נעול באמת.

    הפעל את הטלפון למטה: טכניקה זו פועלת רק על דגם הטלפון על בסיס מודל הטלפון כמו טלפונים מסוימים יהיה, למרות להיות מופעל למטה, עדיין כוח על מעגל ה- USB כולו ולאפשר גישה אחסון פלאש במכשיר.

    השבת את ההתאמה (התקני iOS של Jailbroken בלבד): יונתן Zdziarski, שהוזכר קודם לכן במאמר, פרסמה בקשה קטנה עבור התקני iOS jailbroken המאפשר למשתמש הקצה לשלוט על התנהגות ההתאמה של המכשיר. אתה יכול למצוא את היישום שלו, PairLock, בחנות Cydia וכאן.

    אחת הטכניקות האחרונות אתה יכול להשתמש, אשר יעיל אך לא נוח, היא להשתמש בכבל USB עם חוטי הנתונים או הוסר או קצר החוצה. נמכר כמו "כוח בלבד" כבלים, כבלים אלה חסרים את שני החוטים הדרושים להעברת נתונים יש רק את שני החוטים עבור השידור הנותרים שנותרו. אחד היתרונות של שימוש בכבל כזה, עם זאת, הוא כי המכשיר שלך בדרך כלל תשלום לאט יותר כמו מטענים מודרניים להשתמש בערוצי נתונים כדי לתקשר עם המכשיר ולהגדיר סף העברה מקסימלית מתאימה (בהעדר תקשורת זו, המטען יהיה ברירת המחדל כדי הסף הבטוחה ביותר).

    .

    מהו kernel_task, ומדוע הוא פועל על Mac שלי?
    מה זה Kevo פלוס, וזה שווה את זה?
    מה זה ולמה זה משנה?
    המאמר הבא
    מה זה jusched.exe ומדוע הוא פועל?
    המאמר הקודם
    מה זה JavaScript, ומדוע Gmail חוסם את זה?