Серьёзная уязвимость безопасности, обнаруженная на общественных зарядных станциях USB, позволяет хакерам управлять устройствами

Хотя современные смартфоны оснащены защитными механизмами, предотвращающими несанкционированный доступ через USB-порты, такими как уведомления с просьбой подтвердить передачу данных на устройствах iOS и Android, этого все еще недостаточно для предотвращения новых угроз.

Одной из таких форм атаки является использование хакерами контролируемых зарядных станций для установки вредоносного ПО, кражи данных или получения доступа к устройствам, когда пользователи подключаются к ним для зарядки.

Недавно эксперты по кибербезопасности обнаружили в этой системе защиты серьезный недостаток безопасности, достаточный для того, чтобы превратить любую операцию по взиманию платы в потенциальную угрозу безопасности.

Новый способ атаки на телефоны через USB-порт: пользователи об этом даже не догадываются

По данным новостного сайта о технологиях Ars Technica, эксперты по безопасности только что предупредили о новой технике атак под названием «подмена выбора», которая позволяет хакерам легко обходить уровни аутентификации и получать доступ к смартфонам так, что пользователи этого не замечают.

В частности, хакер устанавливает поддельное устройство внутри зарядной станции, которое при подключении к телефону выглядит как USB-клавиатура. Затем злоумышленник использует механизм зарядки через USB-порт для выполнения технической операции, позволяющей зарядному устройству инициировать Bluetooth-соединение.

После установки соединения вредоносное устройство может автоматически отобразить всплывающее окно с запросом на передачу файла и «нажать» для подтверждения под видом Bluetooth-клавиатуры.

Таким образом, защита операционной системы, призванная блокировать доступ посторонних периферийных устройств, фактически отключается. В худшем случае хакеры могут получить доступ ко всем личным данным телефона, включая файлы, фотографии, контакты и информацию об учётных записях.

Метод был протестирован исследователями из Грацского технического университета (Австрия) на различных моделях телефонов ведущих производителей, включая Samsung и Apple — крупнейших мировых продавцов смартфонов. Результаты показали, что все устройства допускают передачу данных через USB при разблокированном экране.

Большинство устройств по-прежнему «открыты» для хакеров: радикального решения пока нет

Хотя производители смартфонов осознают риски, связанные с атаками типа «перехват выбора», большинство устройств, представленных сегодня на рынке, не оснащены достаточно надежными механизмами защиты.

Лишь немногие, такие как Apple и Google, внедрили меры, требующие от пользователей ввода PIN-кода или пароля, прежде чем будет разрешено добавлять доверенные устройства и разрешаться передача данных.

Однако большинство других производителей еще не приняли аналогичные меры защиты, что делает устройства уязвимыми для хакеров, если они подключены к поддельной зарядной станции.

Ещё более тревожный риск представляет собой отладка по USB на вашем телефоне, которая часто используется при разработке приложений. С помощью мощного инструмента командной строки от Google, обеспечивающего взаимодействие между компьютером и Android-устройством (инструмент ADB), хакеры могут использовать это соединение для установки вредоносных приложений, запуска произвольных скриптов и даже получения доступа к системе с более высокими привилегиями, чем обычно.

Как защитить себя от атак через общественные USB-зарядные станции?

Самый простой и эффективный способ не стать жертвой хакерских атак — полностью отказаться от использования общественных USB-зарядных станций, особенно в местах массового скопления людей, таких как аэропорты, торговые центры, вокзалы или гостиницы.

Эти места — лёгкая мишень для хакеров, желающих установить поддельные устройства в систему зарядки. Вместо этого вам следует:

- Возьмите с собой собственный внешний аккумулятор, когда отправляетесь в путешествие или переезжаете на длительное время. Это самое безопасное и удобное решение, позволяющее всегда иметь достаточный заряд батареи без необходимости использования внешнего источника зарядки.

- Используйте собственное зарядное устройство и кабель для подключения к обычной розетке вместо общественного USB-порта.

- Оснащен «блокиратором USB-данных» — небольшим устройством, которое подключается к USB-кабелю, полностью блокируя передачу данных во время зарядки, позволяя только передачу электроэнергии.

- Убедитесь, что на вашем телефоне установлены последние обновления безопасности от производителя. Многие уязвимости устраняются обновлениями операционной системы.

- Отключите отладку по USB в настройках разработчика, если она вам действительно не нужна. Это снизит риск удалённого управления вашим устройством с помощью таких инструментов, как ADB.

- Не принимайте внезапно появляющиеся запросы, такие как запросы «довериться устройству», передать файлы или подключиться к Bluetooth при подключении к сети, особенно если вы не уверены в происхождении зарядной станции.