USBUSB⚠ USBUSBpublic chargingdata line attack

ג'ייס ג'ינג

10 דקות קריאהבִּטָחוֹן

יציאות USB ציבוריות - בשדות תעופה, בתי מלון, מרכזי כנסים - היו נושא לאזהרות של ה-FBI וה-FCC במשך שנים. תרחיש ההתקפה אמיתי: יציאה זדונית יכולה לספק תוכנות זדוניות או לחלץ נתונים מהטלפון שלך. האיום בפועל היה פחות דרמטי ממה שהציעו הכותרות, אבל ההגנה כל כך קלה שכדאי לדעת.

גוף המאמר המלא מסופק באנגלית להלן.

Juice jacking היא התקפה שבה יציאת USB זדונית (או כבל) פוגעת במכשיר מחובר, בין אם על ידי הזרקת תוכנה זדונית או על ידי חילוץ נתונים. המונח נטבע ב-2011; ה-FBI הוציא אזהרה פומבית בשנת 2023 לגבי תחנות טעינה של נמל תעופה ומלון.

כיצד פועלת המתקפה

USB נושאת גם חשמל וגם נתונים באותו מחבר. כאשר אתה מחבר טלפון ליציאה, שני הקווים מחוברים פיזית כברירת מחדל. הקצה השני של היציאה יכול:

  • לקרוא נתונים — בהתאם להגדרות וההנחיות של הטלפון, התוקף יכול לגשת לתמונות, קבצים, אנשי קשר
  • Push קבצים — להתקין אפליקציות זדוניות כשהמכשיר מאפשר1PLZXPLZXX611111111110111001110110011000 11 פקודות HID — היציאה מתחזה למקלדת או עכבר ומקלידה פקודות
  • ניצול פגיעות מחסנית USB — באופן היסטורי, באגים ברמת ליבה בטיפול ב-USB של iOS ו-Android אפשרו התקפות מסוימות דרך המחבר לבדו
    • XX גישה למערכות ההפעלה USB. iOS ואנדרואיד הן ברירת המחדל ל"טעינה בלבד" כאשר מחשב לא ידוע מתחבר; המשתמש צריך להקיש במפורש על "אפשר גישה" או "סמוך על מחשב זה". זוהי ההגנה העיקרית.

    הסיכון האמיתי בעולם האמיתי

    למרות האזהרות, התקפות גזירת מיץ מתועדות נגד נוסעים רגילים הן נדירות:

    • אזהרת ה-FBI משנת 2023 לא התייחסה לאירועים ספציפיים; זה היה ייעוץ זהירות.
    • רוב יציאות ה-USB הציבוריות הן יציאות טעינה פשוטות בלבד ללא קווי נתונים מחוברים.
    • טלפונים מודרניים כברירת מחדל למצב טעינה בלבד ודורשים את הסכמת המשתמש לגישה לנתונים.
    • ההתקפה דורשת החלפה של יציאת חומרה פיזית מלאה או ביציאת חומרה אמיתית. כבל זדוני (כבל מבולבל מסופק בסביבת הטעינה).

    עבור יעד בעל ערך גבוה (בכיר, אקטיביסט, עיתונאי) הנוסע בינלאומי, דליפת מיצים היא דאגה סבירה. עבור נוסע רגיל בשדה תעופה גדול בארה"ב, הסיכון הוא אמיתי אך קטן.

    זווית הכבל הזדונית

    הגרסה הנוגעת יותר: O.MG כבלי ודומיו - כבלי USB שנראים זהים ל-Apple/Android הרגילים של כבלי טעינה קטנים של מחשבים, שיכולים לחדור, לחדור, לחדור, לחדור למפתח מחשבים ולהכיל נתונים להפעיל מטענים שרירותיים. נמכרים בגלוי ככלי מחקר אבטחה, אי אפשר להבחין ביניהם מכבלים אמיתיים ללא פירוק. אם תוקף משאיר כבל O.MG שוכב בוועידה או בבית מלון, כל מי שישאל אותו נפגע.

    ההגנות הפשוטות

    • USB חוסמי נתונים ("קונדומים USB") - דונגלים קטנים המחברים את הכוח פיזית, חוסמים רק את הנתונים. בסביבות 10 דולר. פתרון קבוע לרוב המטיילים.
    • השתמש בשקע בקיר, לא מתאמי USB. הם פסיביים; הם לא יכולים לתקוף את הטלפון שלך.
    • סחו מטען משלכם. הביאו מתאם קיר קטן וכבל משלכם. טעינה משקעים.
    • Power banks. טעינה מסוללה שאתה סומך עליה במקום יציאה שאינך עושה זאת.
    • מצבי טעינה בלבד. טלפונים מודרניים ברירת המחדל לכך; ודא שלך עושה ולעולם לא קבל הנחיות "סמוך על המחשב הזה" על מטענים ציבוריים.

    USB-C סיבוכים

    USB-C עם PD (הספקת חשמל) משא ומתן כרוך בכמות קטנה של תקשורת דו-כיוונית גם בטעינה בלבד. באופן עקרוני, מטענים זדוניים עלולים לנצל באגים בפרוטוקול PD. בפועל, לא נצפו תקיפות של ממש דרך נתיב זה בטבע. משטח הפרוטוקול קטן ונבדק היטב.

    מעבר לשימוש אישי

    עבור ארגונים:

    • אל תחבר התקני USB מוזרים למכונות ארגוניות, לעולם. מתקפת Stuxnet ב-2010 על מתקני גרעין איראניים השתמשה בכונני USB שהופלו בתור הווקטור הראשוני.
    • השתמש במדיניות נקודות קצה כדי לנטרל אחסון המוני USB במכונות שאינן זקוקות לו.
    • לסביבות אבטחה גבוהות, פערי אוויר מלאים עם דיודות חומרה להעברת נתונים חד כיוונית8ZZPLUSPL8ZPLUSPL8ZPLUSPL8ZPLUSPL8ZPLUSPL8PLUSPL8ZPLUS9PLUS9PLUSPL8ZPLUSPLUS9PLUSPL8ZPLUSPL8ZPLUSPLUS9PLUSPL8ZPLUSPL8ZPLUS. נגד ארגונים מתועדים לעתים קרובות יותר מאשר נגד יחידים, בדיוק בגלל שערך היעד גבוה יותר.

      אזהרת ה-FBI המוגזמת

      הציוץ של ה-FBI משנת 2023 שהפך ויראלי לא הוסיף מודיעין איומים חדש; זה רק חזר על עצות ארוכות שנים. כמה חוקרי אבטחה ציינו כי לא תועדו תקיפות משמעותיות. האזהרה סבירה כמו היגיינה כללית; ההתייחסות אליו כאיום מתמיד היא תיקון יתר.

      עבור רוב המטיילים, הסיכונים המציאותיים בשדה תעופה הם גניבה, תצפית והתקפות Wi-Fi - לא הוצאת מיץ. הוצאת אנרגיה על האיום הגלוי במחיר של הגנות חשובות יותר היא דפוס נפוץ.

שאלות נפוצות

האם ג'ינס נפוץ?
לא בנתוני האיומים המתועדים. הייעוץ של ה-FBI משנת 2023 יצר סיקור נרחב אך לא ציטט תקריות ספציפיות. האיום הוא אמיתי מבחינה טכנית, אבל התקפות מוצלחות נגד מטיילים רגילים הן נדירות. יעדים בעלי ערך גבוה הנוסעים בינלאומיים עדיין צריכים לנקוט באמצעי זהירות.
האם חוסם נתונים USB אכן יגן עליי?
כן עבור USB-A מסורתי. פיני הנתונים מנותקים פיזית; היציאה יכולה לספק חשמל אך אינה יכולה להחליף נתונים. עבור USB-C עם PD, יש תקשורת ברמת PD שחוסם נתונים אמיתי לא יכול לחסל לחלוטין, אבל אין התקפות מעשיות ידועות דרך הערוץ הזה.
האם טעינה אלחוטית בטוחה יותר מ-USB?
כן מנקודת מבט של הוצאת נתונים - טעינה אלחוטית Qi משדרת רק כוח ולחיצת יד מינימלית. מהירויות טעינה איטיות יותר וזמינות אוניברסלית פחותה הם החסרונות המעשיים.
האם ניתן לפרוץ את הטלפון שלי רק מחיבור כבל טעינה?
עם כבל רגיל מיצרן בעל מוניטין, בעצם לא. עם כבל זדוני (O.MG, שווה ערך ל-BadUSB), כן - הכבל עצמו מכיל חומרת תקיפה. השתמש תמיד בכבלים שאתה סומך עליהם, במיוחד בסביבות שבהן מישהו יכול להחליף אותם.
האם לעולם לא כדאי לי להשתמש ביציאות USB של נמל תעופה?
בנסיעות רגילות, הסיכון נמוך. עבור נסיעות מקצועיות עם סיכון גבוה (מנהלים, דיפלומטים, מקורות מפגשים עם עיתונאים), נשיאת מטען קיר וחוסם נתונים USB מבטלת את הסיכון הקטן שנותר תמורת כמה דולרים. האיומים הגדולים יותר בשדות תעופה הם ניטור Wi-Fi, גלישת כתף וגניבת מכשירים.
הסבר על חיבור המיצים: האם יציאות טעינת USB ציבוריות באמת מסוכנות?