FBI در مورد “Juice Jacking” در ایستگاه های شارژ USB عمومی هشدار می دهد
FBI در مورد “Juice Jacking” در ایستگاه های شارژ USB عمومی هشدار می دهد
دفتر FBI در دنور به مصرف کنندگان در مورد استفاده از ایستگاه های شارژ عمومی رایگان هشدار می دهد و می گوید بازیگران بد می توانند از پورت های USB در ایستگاه های آب میوه برای معرفی بدافزار و نرم افزار نظارت بر دستگاه ها استفاده کنند.
این آژانس در توییت اخیر خود توصیه کرد: «شارژر و کابل USB خود را حمل کنید و به جای آن از پریز برق استفاده کنید.
جک آب میوه یک دهه است که وجود داشته است، اگرچه هیچ کس نمی داند که این عمل تا چه حد گسترده بوده است.
برایان مارکوس، مدیر عامل Aries Security، یک شرکت تحقیقاتی و آموزشی امنیتی در ویلمینگتون، دل. مارکوس و رابرت رولی همکارش: «گفتوگوهای زیادی در مورد عمومی بودن آن وجود داشت، اما واقعاً در بین عموم دیده نشد» برای اولین بار در سال 2012 Pulling Juicy را نمایش داد.
مارکوس به TechNewsWorld گفت: «شارژرهای Juice pull مانند کفگیرهای خودپرداز هستند. “شما چیزهای زیادی در مورد آنها می شنوید، اما لزوما آنها را نمی بینید.”
از استفاده از ایستگاه های شارژ رایگان در فرودگاه ها، هتل ها یا مراکز خرید خودداری کنید. بازیگران بد راههایی برای استفاده از پورتهای USB عمومی برای معرفی بدافزار و نرمافزار نظارت بر دستگاهها پیدا کردهاند. شارژر و کابل USB خود را همراه داشته باشید و به جای آن از پریز برق استفاده کنید. pic.twitter.com/9T62SYen9T
– FBI Denver (@FBIDenver) 6 آوریل 2023
او توضیح داد که هر کسی که بخواهد با یک ایستگاه شارژ برق قانونی سرهم بندی کند، می تواند کابل ایستگاه را به یک کابل دستکاری کننده تغییر دهد، که حاوی تراشه ای است که می تواند یک تروجان یا درب پشتی را از راه دور روی تلفن نصب کند. سپس گوشی می تواند در هر زمان از طریق اینترنت مورد حمله قرار گیرد.
مارکوس گفت: «این امر به ویژه در گوشیهای اندرویدی که از نسخههای قدیمیتر سیستمعامل استفاده میکنند رایج است. به همین دلیل برای کاربران بسیار مهم است که دستگاه های خود را به روز نگه دارند.
نظرات مختلط
به نظر می رسد که نظرات متضادی در جامعه امنیتی در مورد اهمیت تهدید هک آب میوه برای مصرف کنندگان وجود دارد.
باد برومهد، مدیر عامل Viakoo، توسعهدهنده راهحلهای نرمافزاری امنیت فیزیکی و سایبری در Mountain View، کالیفرنیا، خاطرنشان میکند: «به طور کلی این خیلی رایج نیست، زیرا استفاده از امکانات شارژ از راه دور کاری نیست که مردم اغلب انجام میدهند.
او به TechNewsWorld گفت: «با این حال، اگر فردی از یک سیستم شارژ خارج از کنترل او استفاده می کند، هشدار FBI باید باعث شود که رفتار خود را تغییر دهد، زیرا موارد در حال افزایش است.
Aviram Jenik، رئیس Apona Security، یک شرکت امنیتی کد منبع در Roseville، کالیفرنیا، تایید کرد که برداشت آب میوه “بسیار متداول” است.
او به TechNewsWorld گفت: «ما اعداد نداریم، زیرا دستگاهها معمولاً در مکانهایی هستند که افراد زیاد نمیمانند، بنابراین به راحتی میتوان یک دستگاه سرکش را در آن قرار داد و سپس آن را پس گرفت».
او افزود: «این کار برای سالها انجام شده است و ایستگاههای شارژ آلوده به بدافزار تقریباً مرتب ظاهر میشوند.
او گفت: «همانطور که شارژ پیچیدهتر میشود – به این معنی که دادهها روی همان کابلهایی که شارژ میکنند منتقل میشوند – بدتر میشود. وقتی هدف از ارزش بالاتری برخوردار باشد – به عنوان مثال، یک خودروی برقی در مقابل یک تلفن همراه – ریسک بالاتر خواهد بود.
جنیک اضافه کرد که یکی دیگر از پیشرفتهای آینده شارژ بیسیم است که به مهاجمان اجازه میدهد بدون دیدن دستگاه فیزیکی مورد استفاده در هک، حمله را انجام دهند.
مشکل ارتباط دو طرفه
اندرو بارت، مدیر راه حل ها و تحقیقات در کوالفایر، یک شرکت مشاوره امنیت سایبری مستقر در وست مینستر در کلرادو، تأیید کرد که نفوذ آب میوه در مناطقی که افراد مورد علاقه به آن تردد می کنند – سیاستمداران یا کسانی که در آژانس های اطلاعاتی کار می کنند، رخ می دهد.
او به TechNewsWorld گفت: “برای اینکه یک حمله آبمیوه گیری موثر باشد، باید محموله بسیار پیچیده ای را ارائه دهد که بتواند اقدامات امنیتی عمومی تلفن را دور بزند.”
او ادامه داد: «راستش را بخواهید، من بیشتر نگران استفاده از پریزها آنقدر شدید بودم که به سیم یا جک تلفنم آسیب برسانند.
Juice grabbing از فناوری USB برای اهداف مخرب سوء استفاده می کند. “مشکل این است که پورتهای USB امکان ارتباط دو طرفه را نه تنها برای شارژ کردن برق، بلکه برای انتقال دادهها نیز فراهم میکنند. این روشی است که دستگاه USB شما میتواند تصاویر و سایر دادهها را هنگام اتصال ارسال کند.
او به TechNewsWorld گفت: «درگاه USB هرگز برای جلوگیری از دستورات مخرب پیشرفته ارسال شده از طریق کانال داده طراحی نشده است. در طول سالها پیشرفتهای امنیتی زیادی در پورت USB صورت گرفته است، اما هنوز راههای بیشتری برای حمله وجود دارد، و اکثر دستگاههای دارای USB به پورت شارژ اجازه میدهند که خود را نسخه قدیمی استاندارد پورت USB معرفی کند، بنابراین برخی از ویژگیهای حفاظتی جدید دیگر در دسترس نیستند.»
آیا آنها خودروهای الکتریکی بعدی خواهند بود؟
جی تی کیتینگ، معاون ارشد طرحهای استراتژیک در Zimperium، ارائهدهنده راهحلهای امنیتی موبایل در دالاس، به مصرفکنندگان هشدار داد که مراقب راهحلهای رایگانی باشند که خود را به عنوان خدمات «عمومی» معرفی میکنند.
او به TechNewsWorld گفت: «وقتی هکرها مردم را فریب می دهند تا از شبکه های وای فای جعلی و ایستگاه های برق استفاده کنند، می توانند دستگاه ها را به خطر بیاندازند، بدافزارها و جاسوس افزارها را نصب کنند و داده ها را سرقت کنند.
او ادامه داد: «این روند همچنان ادامه خواهد داشت و تکامل خواهد یافت، زیرا افراد بیشتر و بیشتری برای خودروهای الکتریکی خود به ایستگاه های شارژ EV متصل می شوند. با هک کردن ایستگاه شارژ خودروی الکتریکی، مهاجمان میتوانند با سرقت اطلاعات پرداخت یا با اجرای انواع باجافزار با غیرفعال کردن ایستگاهها و جلوگیری از شارژ، ویران کنند.»
بارات شرکت کوالفایر خاطرنشان کرد که ایستگاههای شارژ وسایل نقلیه الکتریکی برای مدتی نگرانکننده بودهاند، اما مشکلات مربوط به سرقت شارژ یا استفاده رایگان از این ایستگاهها بوده است.
او گفت: «درازمدتتر، من فکر میکنم این نگرانی وجود دارد که همچنان شاهد حملات بیشتر علیه این شارژرها با تغییر جهان به شارژرهای الکتریکی باشیم.»
او ادامه داد: «زمانی که تلفنهای عمومی داشتیم، حملاتی علیه آنها صورت میگرفت. حملات منظمی علیه دستگاههای خودپرداز و پمپهای بنزین انجام میشود. هر چیزی که در یک محیط بدون نظارت بتوان از ارزش آن صرفنظر کرد، میتوان به سارق فعال آنلاین پاداش داد تا از آن استفاده کند.
از قربانی شدن در شکار آب میوه خودداری کنید
از زمانی که مارکوس و رولی جهان را با روش آبکشی آشنا کردند، شرایط برای مهاجمان بهبود یافته است. به عنوان مثال، اتصال بی سیم به درگاه های شارژ اضافه شده است.
مارکوس خاطرنشان کرد: «زمانی که ما برای اولین بار این کار را انجام دادیم، یک لپتاپ کامل در ایستگاه شارژ نگهداری میشد و کار زیادی انجام میداد. “میزان قدرت محاسباتی برای انجام همین کار اکنون بسیار کمتر شده است.”
FBI تنها آژانس الفبا نیست که زنگ خطر سرقت آبمیوه را به صدا درآورده است. FCC در گذشته نیز به مصرف کنندگان در مورد این عمل هشدار داده است. برای جلوگیری از قربانی شدن آبمیوهگیری، او توصیه میکند:
- از استفاده از ایستگاه شارژ USB خودداری کنید. به جای آن از پریز برق AC استفاده کنید.
- هنگام مسافرت، کولر گازی، شارژر ماشین و کابل USB همراه خود داشته باشید.
- یک شارژر قابل حمل یا باتری خارجی همراه داشته باشید.
- فقط یک کابل شارژ را در نظر بگیرید که از ارسال یا دریافت داده ها در حین شارژ شدن جلوگیری می کند، از یک تامین کننده قابل اعتماد.