Ova vrsta eksploatacije teško da je nova mrlja na sigurnosnom radaru, međutim. Prije dvije godine na sigurnosnoj konferenciji DEF CON 2011., istraživači iz Aires Security-a, Brian Markus, Joseph Mlodzianowski i Robert Rowley, izgradili su kiosk za punjenje kako bi posebno demonstrirali opasnosti juice jackinga i upozorili javnost na to koliko su njihovi telefoni bili ranjivi kada su povezan na kiosk – slika iznad je prikazana korisnicima nakon što su se priključili na zlonamjerni kiosk. Čak i uređaji koji su dobili instrukcije da ne uparuju ili ne dijele podatke i dalje su često bili kompromitovani putem Aires Security kioska.
Još više zabrinjava to što bi izlaganje zlonamjernom kiosku moglo stvoriti dugotrajni sigurnosni problem čak i bez trenutnog ubacivanja zlonamjernog koda. U nedavnom članku na ovu temu, istraživač sigurnosti Jonathan Zdziarski ističe kako ranjivost uparivanja iOS-a i dalje postoji i može ponuditi zlonamjernim korisnicima prozor na vaš uređaj čak i nakon što više niste u kontaktu s kioskom:
Ovaj mehanizam, namijenjen da korištenje vašeg iOS uređaja učini bezbolnim i ugodnim, zapravo može stvoriti prilično bolno stanje: kiosk kojim ste upravo napunili svoj iPhone može, teoretski, održavati Wi-Fi pupčanu vrpcu na vašem iOS uređaju za nastavak pristupa čak i nakon što ste isključili telefon i svalili se u ležaljku na obližnjem aerodromu da igrate rundu (ili četrdeset) Angry Birds.
Koliko bih trebao biti zabrinut?
Mi smo sve samo ne alarmantni ovdje u How-To Geek-u, i uvijek vam to jasno kažemo: trenutno je juice jacking uglavnom teoretska prijetnja, a šanse su da će USB portovi za punjenje u kiosku na vašem lokalnom aerodromi su zapravo tajni paravan za sifoniranje podataka i kompjuter za ubrizgavanje zlonamjernog softvera vrlo su mali. To, međutim, ne znači da biste trebali samo slegnuti ramenima i odmah zaboraviti na vrlo stvarni sigurnosni rizik koji predstavlja uključivanje vašeg pametnog telefona ili tableta u nepoznati uređaj.
Prije nekoliko godina, kada je Firefox ekstenzija Firesheep bila tema u gradskim krugovima u sigurnosnim krugovima, to je bila upravo uglavnom teoretska, ali još uvijek vrlo stvarna prijetnja jednostavnog proširenja preglednika koji omogućava korisnicima da otmu korisničke sesije web-servisa drugih korisnika na lokalnom Wi-Fi čvoru što je dovelo do značajnih promjena. Krajnji korisnici su počeli ozbiljnije shvaćati sigurnost svoje sesije pretraživanja (koristeći tehnike poput tuneliranja kroz svoje kućne internetske veze ili povezivanja na VPN-ove), a velike internet kompanije napravile su velike sigurnosne promjene (kao što je šifriranje cijele sesije pretraživača, a ne samo prijave).
Upravo na ovaj način, osvješćivanje korisnika o prijetnji juice jacking-a i smanjuje mogućnost da će ljudi biti uvučeni u sok i povećava pritisak na kompanije da bolje upravljaju svojim sigurnosnim praksama (sjajno je, na primjer, da vaš iOS uređaji se tako lako uparuju i čini vaše korisničko iskustvo jednostavnijim, ali implikacije doživotnog uparivanja sa 100% povjerenjem u upareni uređaj su prilično ozbiljne).
Kako mogu izbjeći izbijanje soka?
Iako juice jacking nije toliko rasprostranjena prijetnja kao direktna krađa telefona ili izloženost zlonamjernim virusima putem kompromitovanih preuzimanja, ipak biste trebali poduzeti mjere opreza zdravog razuma kako biste izbjegli izlaganje sistemima koji mogu zlonamjerno pristupiti vašim ličnim uređajima. Slika ljubaznošću Exogeara.
Najočitije mjere predostrožnosti se usredotočuju na jednostavno uklanjanje nepotrebnog punjenja vašeg telefona korištenjem sistema treće strane:
Neka Vaši uređaji budu napunjeni: Najočiglednija mjera opreza je da vaš mobilni uređaj bude napunjen. Neka vam postane navika da punite telefon kod kuće i u kancelariji kada ga ne koristite aktivno ili kada sedite za stolom i radite posao. Što manje puta vidite da buljite u crvenu traku baterije od 3% kada ste na putovanju ili daleko od kuće, to bolje.
Nosite lični punjač: Punjači su postali toliko mali i lagani da jedva da teže više od stvarnog USB kabla na koji su priključeni. Baci punjač u torbu da možeš puniti svoj telefon i zadržati kontrolu nad portom za podatke.
Nosite rezervnu bateriju: Bilo da se odlučite za nošenje pune rezervne baterije (za uređaje koji vam omogućavaju da fizički zamijenite bateriju) ili eksternu rezervnu bateriju (kao što je ova mala 2600mAh jedan), možete izdržati duže bez potrebe da povežete telefon sa kioskom ili zidnom utičnicom.
Pored toga što osiguravate da vaš telefon održava punu bateriju, postoje dodatne softverske tehnike koje možete koristiti (iako, kao što možete zamisliti, one su manje nego idealne i nije zajamčeno da će funkcionirati s obzirom na konstantno razvijajuću utrku sigurnosti podvige). Kao takve, ne možemo istinski podržati nijednu od ovih tehnika kao zaista efikasnu, ali one su svakako efikasnije od nečinjenja.
Zaključajte svoj telefon: Kada je vaš telefon zaključan, zaista zaključan i nedostupan bez unosa PIN-a ili ekvivalentne šifre, vaš telefon ne bi trebalo da se upari sa uređajem na koji je povezan to. iOS uređaji će se upariti samo kada su otključani – ali opet, kao što smo ranije istakli, uparivanje se odvija u roku od nekoliko sekundi, tako da se bolje uvjerite da je telefon zaista zaključan.
Isključite telefon: Ova tehnika radi samo na bazi modela telefona po modelu telefona jer će neki telefoni, uprkos tome što su isključeni, i dalje uključivati cijeli USB krug i dozvoli pristup flash memoriji na uređaju.
Onemogući uparivanje (samo iOS uređaji s jailbroken): Jonathan Zdziarski, spomenut ranije u članku, objavio je malu aplikaciju za jailbreak iOS uređaje koja omogućava krajnjem korisniku da kontrolira uparivanje ponašanje uređaja. Njegovu aplikaciju, PairLock, možete pronaći u Cydia Store-u i ovdje.
Jedna poslednja tehnika koju možete koristiti, a koja je efikasna, ali nezgodna, jeste da koristite USB kabl sa kablovima za prenos podataka ili uklonjenim ili kratko spojenim. Prodaju se kao kablovi "samo za napajanje", ovim kablovima nedostaju dvije žice neophodne za prijenos podataka i preostale su samo dvije žice za prijenos energije. Međutim, jedan od nedostataka korištenja takvog kabela je taj što će se vaš uređaj obično puniti sporije jer moderni punjači koriste podatkovne kanale za komunikaciju s uređajem i postavljaju odgovarajući maksimalni prag prijenosa (u odsustvu ove komunikacije, punjač će zadano najniži sigurnosni prag).
Na kraju krajeva, najbolja odbrana od kompromitovanog mobilnog uređaja je svijest. Održavajte svoj uređaj napunjenim, omogućite sigurnosne funkcije koje pruža operativni sistem (znajući da nisu sigurni i da svaki sigurnosni sistem može biti eksploatisan) i izbjegavajte uključivanje telefona u nepoznate stanice za punjenje i računare na isti način na koji mudro izbjegavate otvaranje priloga od nepoznatih pošiljalaca.
