امكان دزدي اطلاعات موبايل در ايستگاههاي شارژ مكانهاي عمومي
اتصالات USB براي انتقال همزمان داده و انرژي توسعه يافتهاند. باتوجه به افزايش چشمگير موبايلهاي هوشمند طي دههي گذشته، روشهاي گستردهاي براي دزدي اطلاعات و رخنه به موبايل قربانيان ايجاد شده است. محققان امنيتي بهتازگي روشي براي تغيير اتصال USB يافتهاند كه در عين شارژ، اطلاعاتي را نيز از موبايل قرباني دريافت خواهد كرد. اين روش حمله به موبايلهاي هوشمند Juice Jacking ناميده ميشود.
طي سالهاي گذشته چندين روش حملهي هكرها به موبايلهاي هوشمند پيشبيني شد كه مطرحترين نمونه، Mactans نام دارد. اين ايده كه در كنفرانس Black Hat سال ۲۰۱۳ معرفي شد، بهواسطهي ايستگاه شارژ آلوده موبايلهاي iOS را هدف قرار ميداد. سه سال بعد و در سال ۲۰۱۶، محقق امنيتي با نام سامي كامكار پا را فراتر گذاشت و KeySweeper را معرفي كرد؛ دستگاهي كه خود را بهعنوان ايستگاه شارژ USB معرفي ميكند اما در پسزمينه و بهصورت بيسيم عملكرد تمامي كيبوردهاي بيسيم مايكروسافت را دزدي و رمزگشايي ميكرد. در همان سال FBI اخطاري براي تمام سازمان و نهادها جهت نصب و استفاده از ايستگاههاي شارژ ارسال كرد.
تيم امنيتي ديگري در سال ۲۰۱۶ بدافزار پيشرفتهاي را در ايستگاه شارژي تعبيه كرد كه قابليت ضبط فيلم از نمايشگر موبايل را طي اتصال به شارژ داشت. اين عمليات با نام Video Jacking شناخته ميشود.
حال بهتازگي دادگستري ايالت كاليفرنيا با انتشار گزارشي، تمامي بدافزارهاي شناخته شدهي ايستگاههاي شارژ را براي اخطار به سازمان و نهادهاي اعلام كرده است. هكرها ميتوانند در برخي از ايستگاههاي شارژ، نمونهي داراي بدافزار خود را در كنار ساير شارژرها قرار دهند تا بدون جلب توجه اقدام به دزدي اطلاعات كنند. حتي برخي شارژرهاي به جا مانده در مكانهاي عمومي نيز ميتواند آغشته به بدافزار بوده باشد. حتي كابلهاي USB نيز ميتوانند حاوي بدافزار باشند. يكي از مثالهاي اين موضوع O.MG Cable است كه ظاهري مشابه كابلهاي عادي دارد، اما پس از اتصال آن به موبايل هوشمند بدافزار وارد دستگاه شده و فعاليت خود را آغاز ميكند. به همين دليل پيشنهاد ميشود متخصص اولويت را استفاده از شارژر خود و اتصال آن به پريز برق در مكانهاي عمومي قرار دهد.
البته متخصصان ميتوانند براي حل اين دسته از اشكالات از كابلهاي USB مخصوصي كه تنها وظيفهي انتقال توان را به عهده دارند و فاقد پين و اتصالات لازم براي انتقال ديتا هستند بهره ببرند. اين دسته از كابلها عموما با نام no-data transfer شناخته ميشوند. بهطور خلاصه براي افزايش امنيت در اين رابطه موارد زير پيشنهاد ميشود:
- از ايستگاههاي شارژ عمومي استفاده نكنيد.
- شارژر مخصوص خود را بههمراه داشته باشيد.
- در مواقع ضروري از پاوربانك بهره ببريد.
آيا واقعا بايد نگران حملههاي Juice Jacking بود؟
پس از انتشار گزارش دادگستري كاليفرنيا، برخي از محققان و متخصصان امنيتي به اين گزارش اعتراض كردند. بهگفتهي آنها تاكنون هيچ موردي در دنياي واقعي از اين دسته از حملات گزارش نشده است. همچنين به اعتقاد آنها اعلانيهي دسترسي ديتا به موبايل در سيستم عاملهاي اندرويد و iOS تا حد زيادي از اين خطرات جلوگيري خواهد كرد.
دادگستري كاليفرنيا نيز با قبول نبود موردي در دنياي واقعي در خصوص حملات Juice Jacking، اين اخطار را صرفا براي پيشگيري از اشكالات و حملات آيندهي هكرها عنوان كرد.
هم انديشي ها