FBI در مورد “Juice Jacking” در ایستگاه های شارژ USB عمومی هشدار می دهد

دفتر FBI در دنور به مصرف کنندگان در مورد استفاده از ایستگاه های شارژ عمومی رایگان هشدار می دهد و می گوید بازیگران بد می توانند از پورت های USB در ایستگاه های آب میوه برای معرفی بدافزار و نرم افزار نظارت بر دستگاه ها استفاده کنند.

این آژانس در توییت اخیر خود توصیه کرد: «شارژر و کابل USB خود را حمل کنید و به جای آن از پریز برق استفاده کنید.

جک آب میوه یک دهه است که وجود داشته است، اگرچه هیچ کس نمی داند که این عمل تا چه حد گسترده بوده است.

برایان مارکوس، مدیر عامل Aries Security، یک شرکت تحقیقاتی و آموزشی امنیتی در ویلمینگتون، دل. مارکوس و رابرت رولی همکارش: «گفت‌وگوهای زیادی در مورد عمومی بودن آن وجود داشت، اما واقعاً در بین عموم دیده نشد» برای اولین بار در سال 2012 Pulling Juicy را نمایش داد.

مارکوس به TechNewsWorld گفت: «شارژرهای Juice pull مانند کفگیرهای خودپرداز هستند. “شما چیزهای زیادی در مورد آنها می شنوید، اما لزوما آنها را نمی بینید.”

از استفاده از ایستگاه های شارژ رایگان در فرودگاه ها، هتل ها یا مراکز خرید خودداری کنید. بازیگران بد راه‌هایی برای استفاده از پورت‌های USB عمومی برای معرفی بدافزار و نرم‌افزار نظارت بر دستگاه‌ها پیدا کرده‌اند. شارژر و کابل USB خود را همراه داشته باشید و به جای آن از پریز برق استفاده کنید. pic.twitter.com/9T62SYen9T

– FBI Denver (@FBIDenver) 6 آوریل 2023

او توضیح داد که هر کسی که بخواهد با یک ایستگاه شارژ برق قانونی سرهم بندی کند، می تواند کابل ایستگاه را به یک کابل دستکاری کننده تغییر دهد، که حاوی تراشه ای است که می تواند یک تروجان یا درب پشتی را از راه دور روی تلفن نصب کند. سپس گوشی می تواند در هر زمان از طریق اینترنت مورد حمله قرار گیرد.

مارکوس گفت: «این امر به ویژه در گوشی‌های اندرویدی که از نسخه‌های قدیمی‌تر سیستم‌عامل استفاده می‌کنند رایج است. به همین دلیل برای کاربران بسیار مهم است که دستگاه های خود را به روز نگه دارند.

نظرات مختلط

به نظر می رسد که نظرات متضادی در جامعه امنیتی در مورد اهمیت تهدید هک آب میوه برای مصرف کنندگان وجود دارد.

باد برومهد، مدیر عامل Viakoo، توسعه‌دهنده راه‌حل‌های نرم‌افزاری امنیت فیزیکی و سایبری در Mountain View، کالیفرنیا، خاطرنشان می‌کند: «به طور کلی این خیلی رایج نیست، زیرا استفاده از امکانات شارژ از راه دور کاری نیست که مردم اغلب انجام می‌دهند.

او به TechNewsWorld گفت: «با این حال، اگر فردی از یک سیستم شارژ خارج از کنترل او استفاده می کند، هشدار FBI باید باعث شود که رفتار خود را تغییر دهد، زیرا موارد در حال افزایش است.

Aviram Jenik، رئیس Apona Security، یک شرکت امنیتی کد منبع در Roseville، کالیفرنیا، تایید کرد که برداشت آب میوه “بسیار متداول” است.

او به TechNewsWorld گفت: «ما اعداد نداریم، زیرا دستگاه‌ها معمولاً در مکان‌هایی هستند که افراد زیاد نمی‌مانند، بنابراین به راحتی می‌توان یک دستگاه سرکش را در آن قرار داد و سپس آن را پس گرفت».

او افزود: «این کار برای سال‌ها انجام شده است و ایستگاه‌های شارژ آلوده به بدافزار تقریباً مرتب ظاهر می‌شوند.

او گفت: «همانطور که شارژ پیچیده‌تر می‌شود – به این معنی که داده‌ها روی همان کابل‌هایی که شارژ می‌کنند منتقل می‌شوند – بدتر می‌شود. وقتی هدف از ارزش بالاتری برخوردار باشد – به عنوان مثال، یک خودروی برقی در مقابل یک تلفن همراه – ریسک بالاتر خواهد بود.

جنیک اضافه کرد که یکی دیگر از پیشرفت‌های آینده شارژ بی‌سیم است که به مهاجمان اجازه می‌دهد بدون دیدن دستگاه فیزیکی مورد استفاده در هک، حمله را انجام دهند.

مشکل ارتباط دو طرفه

اندرو بارت، مدیر راه حل ها و تحقیقات در کوالفایر، یک شرکت مشاوره امنیت سایبری مستقر در وست مینستر در کلرادو، تأیید کرد که نفوذ آب میوه در مناطقی که افراد مورد علاقه به آن تردد می کنند – سیاستمداران یا کسانی که در آژانس های اطلاعاتی کار می کنند، رخ می دهد.

او به TechNewsWorld گفت: “برای اینکه یک حمله آبمیوه گیری موثر باشد، باید محموله بسیار پیچیده ای را ارائه دهد که بتواند اقدامات امنیتی عمومی تلفن را دور بزند.”

او ادامه داد: «راستش را بخواهید، من بیشتر نگران استفاده از پریزها آنقدر شدید بودم که به سیم یا جک تلفنم آسیب برسانند.

Juice grabbing از فناوری USB برای اهداف مخرب سوء استفاده می کند. “مشکل این است که پورت‌های USB امکان ارتباط دو طرفه را نه تنها برای شارژ کردن برق، بلکه برای انتقال داده‌ها نیز فراهم می‌کنند. این روشی است که دستگاه USB شما می‌تواند تصاویر و سایر داده‌ها را هنگام اتصال ارسال کند.

او به TechNewsWorld گفت: «درگاه USB هرگز برای جلوگیری از دستورات مخرب پیشرفته ارسال شده از طریق کانال داده طراحی نشده است. در طول سال‌ها پیشرفت‌های امنیتی زیادی در پورت USB صورت گرفته است، اما هنوز راه‌های بیشتری برای حمله وجود دارد، و اکثر دستگاه‌های دارای USB به پورت شارژ اجازه می‌دهند که خود را نسخه قدیمی استاندارد پورت USB معرفی کند، بنابراین برخی از ویژگی‌های حفاظتی جدید دیگر در دسترس نیستند.»

آیا آنها خودروهای الکتریکی بعدی خواهند بود؟

جی تی کیتینگ، معاون ارشد طرح‌های استراتژیک در Zimperium، ارائه‌دهنده راه‌حل‌های امنیتی موبایل در دالاس، به مصرف‌کنندگان هشدار داد که مراقب راه‌حل‌های رایگانی باشند که خود را به عنوان خدمات «عمومی» معرفی می‌کنند.

او به TechNewsWorld گفت: «وقتی هکرها مردم را فریب می دهند تا از شبکه های وای فای جعلی و ایستگاه های برق استفاده کنند، می توانند دستگاه ها را به خطر بیاندازند، بدافزارها و جاسوس افزارها را نصب کنند و داده ها را سرقت کنند.

او ادامه داد: «این روند همچنان ادامه خواهد داشت و تکامل خواهد یافت، زیرا افراد بیشتر و بیشتری برای خودروهای الکتریکی خود به ایستگاه های شارژ EV متصل می شوند. با هک کردن ایستگاه شارژ خودروی الکتریکی، مهاجمان می‌توانند با سرقت اطلاعات پرداخت یا با اجرای انواع باج‌افزار با غیرفعال کردن ایستگاه‌ها و جلوگیری از شارژ، ویران کنند.»

بارات شرکت کوالفایر خاطرنشان کرد که ایستگاه‌های شارژ وسایل نقلیه الکتریکی برای مدتی نگران‌کننده بوده‌اند، اما مشکلات مربوط به سرقت شارژ یا استفاده رایگان از این ایستگاه‌ها بوده است.

او گفت: «درازمدت‌تر، من فکر می‌کنم این نگرانی وجود دارد که همچنان شاهد حملات بیشتر علیه این شارژرها با تغییر جهان به شارژرهای الکتریکی باشیم.»

او ادامه داد: «زمانی که تلفن‌های عمومی داشتیم، حملاتی علیه آنها صورت می‌گرفت. حملات منظمی علیه دستگاه‌های خودپرداز و پمپ‌های بنزین انجام می‌شود. هر چیزی که در یک محیط بدون نظارت بتوان از ارزش آن صرف‌نظر کرد، می‌توان به سارق فعال آنلاین پاداش داد تا از آن استفاده کند.

از قربانی شدن در شکار آب میوه خودداری کنید

از زمانی که مارکوس و رولی جهان را با روش آب‌کشی آشنا کردند، شرایط برای مهاجمان بهبود یافته است. به عنوان مثال، اتصال بی سیم به درگاه های شارژ اضافه شده است.

مارکوس خاطرنشان کرد: «زمانی که ما برای اولین بار این کار را انجام دادیم، یک لپ‌تاپ کامل در ایستگاه شارژ نگهداری می‌شد و کار زیادی انجام می‌داد. “میزان قدرت محاسباتی برای انجام همین کار اکنون بسیار کمتر شده است.”

FBI تنها آژانس الفبا نیست که زنگ خطر سرقت آبمیوه را به صدا درآورده است. FCC در گذشته نیز به مصرف کنندگان در مورد این عمل هشدار داده است. برای جلوگیری از قربانی شدن آبمیوه‌گیری، او توصیه می‌کند:

• از استفاده از ایستگاه شارژ USB خودداری کنید. به جای آن از پریز برق AC استفاده کنید.
• هنگام مسافرت، کولر گازی، شارژر ماشین و کابل USB همراه خود داشته باشید.
• یک شارژر قابل حمل یا باتری خارجی همراه داشته باشید.
• فقط یک کابل شارژ را در نظر بگیرید که از ارسال یا دریافت داده ها در حین شارژ شدن جلوگیری می کند، از یک تامین کننده قابل اعتماد.