Meyve suyu sıkmak yaygın mıdır?

Belgelenen tehdit verilerinde yok. FBI'ın 2023 tavsiyesi geniş çapta yer aldı ancak belirli bir olaya değinmedi. Tehdit teknik olarak gerçektir ancak sıradan gezginlere yönelik başarılı saldırılar nadirdir. Uluslararası seyahat eden yüksek değerli hedeflerin yine de önlem alması gerekiyor.

Bir USB veri engelleyici beni gerçekten koruyacak mı?

Evet, geleneksel USB-A için. Veri pinlerinin bağlantısı fiziksel olarak kesilmiştir; bağlantı noktası güç sağlayabilir ancak veri alışverişi yapamaz. PD'li USB-C için, gerçek bir veri engelleyicinin tamamen ortadan kaldıramayacağı bazı PD düzeyinde iletişim vardır, ancak bu kanal üzerinden bilinen pratik bir saldırı yoktur.

Kablosuz şarj USB'den daha mı güvenli?

Veri hırsızlığı perspektifinden bakıldığında evet — Qi kablosuz şarj yalnızca güç iletir ve el sıkışmayı minimum düzeyde tutar. Daha yavaş şarj hızları ve daha az evrensel kullanılabilirlik pratik dezavantajlardır.

Telefonum sadece şarj kablosunu taktığımda hacklenebilir mi?

Saygın bir üreticiden alınan normal bir kabloyla aslında hayır. Kötü amaçlı bir kabloyla (O.MG, BadUSB eşdeğeri), evet — kablonun kendisi saldırı donanımı içeriyor. Özellikle birinin değiştirebileceği ortamlarda her zaman güvendiğiniz kabloları kullanın.

Havaalanı USB bağlantı noktalarını asla kullanmamalı mıyım?

Sıradan seyahatlerde risk düşüktür. Yüksek riskli profesyonel seyahatler için (yönetici, diplomat, gazeteci toplantı kaynakları), duvar şarj cihazı ve USB veri engelleyici taşımak, kalan küçük riski birkaç dolar karşılığında ortadan kaldırır. Havalimanlarındaki en büyük tehditler Wi-Fi izleme, omuz sörfü ve cihaz hırsızlığıdır.

Juice Jacking Açıklaması: Halka Açık USB Şarj Bağlantı Noktaları Gerçekten Tehlikeli mi?

Havaalanlarında, otellerde ve konferans merkezlerinde bulunan halka açık USB bağlantı noktaları, yıllardır FBI ve FCC'nin uyarılarına konu oluyor. Saldırı senaryosu gerçektir: Kötü amaçlı bir bağlantı noktası, kötü amaçlı yazılım dağıtabilir veya telefonunuzdan veri çıkarabilir. Uygulamadaki tehdit, manşetlerde öne sürülenden daha az dramatik, ancak savunma o kadar kolay ki bilmeye değer.

Makalenin tam metni aşağıda İngilizce olarak verilmektedir.

Juice jacking, kötü amaçlı bir USB bağlantı noktasının (veya kablosunun), kötü amaçlı yazılım enjekte ederek veya verileri çıkararak bağlı cihazın güvenliğini ihlal ettiği bir saldırıdır. Terim 2011 yılında icat edildi; FBI, 2023 yılında havaalanı ve otel şarj istasyonları hakkında kamuya açık bir uyarı yayınladı.

Saldırı nasıl çalışıyor

USB, hem gücü hem de verileri aynı konektör üzerinde taşıyor. Bir telefonu bir bağlantı noktasına taktığınızda, her iki hat da varsayılan olarak fiziksel olarak bağlanır. Bağlantı noktasının diğer ucu şunları yapabilir:

Verileri okuyabilir — telefonun ayarlarına ve istemlerine bağlı olarak saldırgan fotoğraflara, dosyalara, kişilere erişebilir
Dosyaları itebilir — cihaz yandan yüklemeye izin veriyorsa kötü amaçlı uygulamalar yükleyebilir
HID gönder komutlar — bağlantı noktası bir klavye veya farenin kimliğine bürünür ve komutlar yazar
USB yığını güvenlik açıklarından yararlanın — geçmişte, iOS ve Android USB işlemedeki çekirdek düzeyindeki hatalar, yalnızca konektör aracılığıyla bazı saldırılara olanak sağlamıştır

Modern işletim sistemleri, USB veri erişimine izin vermeden önce istemde bulunur. Bilinmeyen bir bilgisayar bağlandığında iOS ve Android'in her ikisi de varsayılan olarak "yalnızca şarj oluyor"; kullanıcının açıkça "Erişime izin ver" veya "Bu bilgisayara güven" seçeneğine dokunması gerekir. Bu ana korumadır.

Gerçek dünya riski

Uyarılara rağmen, sıradan yolculara yönelik belgelenmiş suiistimal saldırıları nadirdir:

FBI'nın 2023 uyarısı belirli olaylara değinmiyordu; bu bir önlem niteliğindeki tavsiye niteliğindeydi.
Genel USB bağlantı noktalarının çoğu, hiçbir veri hattı bağlı olmayan basit, yalnızca şarj bağlantı noktalarıdır.
Modern telefonlar varsayılan olarak yalnızca şarj modunu kullanır ve veri erişimi için kullanıcının iznini gerektirir.
Saldırı, ya fiziksel bağlantı noktasının tamamen değiştirilmesini (birisi gerçek bir bağlantı noktasını kötü amaçlı donanımla değiştirir) ya da kötü amaçlı bir kabloyu (şarj sırasında kurcalanmış bir kablo sağlanır) gerektirir.

Uluslararası seyahat eden yüksek değerli bir hedef (yönetici, aktivist, gazeteci) için meyve suyu hırsızlığı makul bir endişe kaynağıdır. ABD'nin büyük bir havaalanındaki sıradan bir yolcu için risk gerçek ama küçüktür.

Kötü niyetli kablo açısı

Daha endişe verici değişken: O.MG kabloları ve benzerleri — Normal Apple/Android şarj kablolarıyla aynı görünen ancak tuş vuruşlarını enjekte edebilen, Wi-Fi üzerinden veri sızdırabilen ve isteğe bağlı yükleri çalıştırabilen küçük bir bilgisayar içeren USB kabloları. Güvenlik araştırma araçları olarak açıkça satılan bu kablolar, sökülmeden gerçek kablolardan ayırt edilemez. Bir saldırgan O.MG kablosunu bir konferansta veya otelde bırakırsa, onu ödünç alan herkesin güvenliği tehlikeye girer.

Basit savunmalar

USB veri engelleyiciler ("USB prezervatifleri") — yalnızca güç pinlerini fiziksel olarak bağlayan ve verileri engelleyen küçük donanım kilitleri. 10 dolar civarında. Seyahat edenlerin çoğu için kalıcı çözüm.
USB yerine duvar prizi kullanın. AC adaptörleri pasiftir; telefonunuza saldıramazlar.
Kendi şarj cihazınızı taşıyın. Küçük bir duvar adaptörü ve kendi kablonuzu getirin. Prizlerden şarj edin.
Güç bankaları. Güvenmediğiniz bir bağlantı noktası yerine güvendiğiniz bir pilden şarj edin.
Yalnızca şarj modları. Modern telefonlar varsayılan olarak bunu kullanır; sizinkinin bunu yaptığını doğrulayın ve genel şarj cihazlarında "Bu bilgisayara güvenin" istemlerini asla kabul etmeyin.

USB-C komplikasyonları

PD (Güç Dağıtımı) ile USB-C anlaşması, yalnızca şarj sırasında bile az miktarda çift yönlü iletişim içerir. Prensip olarak, kötü niyetli şarj cihazları PD protokolü hatalarından yararlanabilir. Uygulamada, vahşi doğada bu rota üzerinden gerçek bir saldırı gözlemlenmedi. Protokol yüzeyi küçük ve iyi test edilmiştir.

Kişisel kullanımın ötesinde

Kuruluşlar için:

Hiçbir zaman yabancı USB aygıtlarını kurumsal makinelere takmayın. İran nükleer tesislerine yapılan 2010 Stuxnet saldırısında, başlangıç vektörü olarak bırakılan USB sürücüleri kullanıldı.
İhtiyaç duymayan makinelerde USB yığın depolamayı devre dışı bırakmak için uç nokta politikasını kullanın.
Yüksek güvenlikli ortamlar için, tek yönlü veri aktarımı için donanım veri diyotlarıyla tam hava boşlukları.

Kuruluşlara yönelik USB saldırıları, kişilere karşı olduğundan daha sık belgelenmektedir; hedef değer daha yüksektir.

Abartılı FBI uyarısı

2023'te viral olan FBI tweet'i yeni tehdit istihbaratı eklemedi; sadece uzun süredir devam eden tavsiyeyi yeniden ifade etti. Birkaç güvenlik araştırmacısı, önemli bir saldırının belgelenmediğine dikkat çekti. Uyarı genel hijyen açısından makuldür; bunu sürekli bir tehdit olarak ele almak aşırı düzeltmedir.

Çoğu yolcu için havaalanındaki gerçekçi riskler hırsızlık, gözetleme ve Wi-Fi saldırılarıdır; kriko değil. Daha önemli savunmalar pahasına görünür tehdide enerji harcamak yaygın bir kalıptır.

Sık sorulan sorular

Meyve suyu sıkmak yaygın mıdır?: Belgelenen tehdit verilerinde yok. FBI'ın 2023 tavsiyesi geniş çapta yer aldı ancak belirli bir olaya değinmedi. Tehdit teknik olarak gerçektir ancak sıradan gezginlere yönelik başarılı saldırılar nadirdir. Uluslararası seyahat eden yüksek değerli hedeflerin yine de önlem alması gerekiyor.
Bir USB veri engelleyici beni gerçekten koruyacak mı?: Evet, geleneksel USB-A için. Veri pinlerinin bağlantısı fiziksel olarak kesilmiştir; bağlantı noktası güç sağlayabilir ancak veri alışverişi yapamaz. PD'li USB-C için, gerçek bir veri engelleyicinin tamamen ortadan kaldıramayacağı bazı PD düzeyinde iletişim vardır, ancak bu kanal üzerinden bilinen pratik bir saldırı yoktur.
Kablosuz şarj USB'den daha mı güvenli?: Veri hırsızlığı perspektifinden bakıldığında evet — Qi kablosuz şarj yalnızca güç iletir ve el sıkışmayı minimum düzeyde tutar. Daha yavaş şarj hızları ve daha az evrensel kullanılabilirlik pratik dezavantajlardır.
Telefonum sadece şarj kablosunu taktığımda hacklenebilir mi?: Saygın bir üreticiden alınan normal bir kabloyla aslında hayır. Kötü amaçlı bir kabloyla (O.MG, BadUSB eşdeğeri), evet — kablonun kendisi saldırı donanımı içeriyor. Özellikle birinin değiştirebileceği ortamlarda her zaman güvendiğiniz kabloları kullanın.
Havaalanı USB bağlantı noktalarını asla kullanmamalı mıyım?: Sıradan seyahatlerde risk düşüktür. Yüksek riskli profesyonel seyahatler için (yönetici, diplomat, gazeteci toplantı kaynakları), duvar şarj cihazı ve USB veri engelleyici taşımak, kalan küçük riski birkaç dolar karşılığında ortadan kaldırır. Havalimanlarındaki en büyük tehditler Wi-Fi izleme, omuz sörfü ve cihaz hırsızlığıdır.