ما هو اصطياد العصير ، وهل يجب أن أقوم بتفادي شحنات الهواتف العامة؟
يحتاج هاتفك الذكي إلى إعادة شحن بعد مرة أخرى وأنت على بعد أميال من الشاحن في المنزل. أن كشك الشحن العام يبدو واعدًا جدًا - ما عليك سوى توصيل هاتفك والحصول على الطاقة الحلوة اللذيذة التي تريدها. ما يمكن أن تذهب الخطأ ، أليس كذلك؟ بفضل السمات الشائعة في أجهزة الهاتف المحمول وتصميم البرامج ، يمكنك قراءة بعض الأشياء لمعرفة المزيد حول رفع العصير وكيفية تجنبه.
ما هو بالضبط الاصطياد عصير?
بغض النظر عن نوع الهاتف الذكي الحديث الذي يتوفر لديك - سواء كان جهاز Android أو iPhone أو BlackBerry - فهناك ميزة واحدة مشتركة عبر جميع الهواتف: حيث يمر مورد التيار وبث البيانات عبر نفس الكابل. سواء كنت تستخدم اتصال USB miniB القياسي أو الكبلات الخاصة بشركة Apple ، فإنها نفس الوضع: الكابل المستخدم لإعادة شحن البطارية في هاتفك هو نفس الكابل الذي تستخدمه لنقل ومزامنة بياناتك.
يوفر هذا الإعداد ، البيانات / الطاقة على نفس الكبل ، متجه مقاربة لمستخدم ضار للوصول إلى هاتفك أثناء عملية الشحن ؛ الاستفادة من كابل بيانات / كابل USB للوصول بشكل غير شرعي إلى بيانات الهاتف و / أو حقن رمز خبيث على الجهاز المعروف باسم الاصبع العصير.
قد يكون الهجوم بسيطا مثل غزو الخصوصية ، حيث أزواج هاتفك مع جهاز الكمبيوتر مخبأة داخل كشك الشحن ، ويتم نقل المعلومات مثل الصور الخاصة ومعلومات الاتصال إلى الجهاز الخبيث. يمكن أن يكون الهجوم أيضًا عدوانيًا كحقن من الشفرات الضارة مباشرة في جهازك. في مؤتمر الأمن في BlackHat لهذا العام ، يقدم الباحثون الأمنيون Billy Lau و YeongJin Jang و Chengyu Song "MACTANS: Injecting Malware Into iOS Devices via Malicious Chargers" ، وهنا مقتطفات من عرضهم التقديمي:
في هذا العرض التقديمي ، نوضح كيف يمكن اختراق جهاز iOS خلال دقيقة واحدة من توصيله بشاحن ضار. نقوم أولاً بفحص آليات الأمان الحالية الخاصة بشركة Apple للحماية من تثبيت البرامج التعسفي ، ثم وصف كيفية تعزيز قدرات USB لتجاوز هذه الآليات الدفاعية. لضمان استمرار العدوى الناتجة ، نوضح كيف يمكن للمهاجمين إخفاء برامجهم بنفس الطريقة التي تخفي Apple تطبيقاتها المضمنة.
لإثبات التطبيق العملي لهذه الثغرات ، قمنا ببناء دليل على الشاحن الخبيث المفهوم ، يسمى Mactans ، باستخدام لوحة BeagleBoard. تم اختيار هذه الأجهزة لإثبات سهولة تركيب شواحن USB الخبيثة ذات المظهر البريء. في حين تم بناء Mactans مع كمية محدودة من الوقت وميزانية صغيرة ، ونحن أيضا النظر بإيجاز ما يمكن أن يحققه أعداء أكثر تحفيزا ، والتمويل الجيد.
باستخدام الأجهزة الجاهزة الرخيصة وهشاشة الأمان الصارخة ، تمكنوا من الوصول إلى الجيل الحالي من أجهزة iOS في أقل من دقيقة ، على الرغم من الاحتياطات الأمنية العديدة التي وضعتها شركة أبل لتتجنب على وجه التحديد هذا النوع من الأشياء.
غير أن هذا النوع من الاستغلال لا يمثل مشكلة جديدة على الرادار الأمني. قبل عامين في مؤتمر الأمن CON DEF 2011 ، قام باحثون من شركة أمن إيرس ، براين ماركوس ، جوزيف ميلوديانوسكي ، وروبرت رولي ، ببناء كشك شحن ليعرضوا على وجه التحديد أخطار رفع العصير وينبهوا الجمهور إلى مدى ضعف هواتفهم عندما متصلاً بـ kiosk ، تم عرض الصورة أعلاه للمستخدمين بعد دخولهم إلى الكشك الخبيث. وحتى الأجهزة التي صدرت تعليمات بعدم إقران البيانات أو مشاركتها ، كانت لا تزال تتعرض للخطر بشكل متكرر من خلال كشك الأمان الخاص بأيرس.
والأمر الأكثر إثارة للقلق هو أن التعرض إلى كشك خبيث يمكن أن يخلق مشكلة أمنية مستمرة حتى بدون حقن الشفرات الضارة. في مقالة حديثة حول هذا الموضوع ، يسلط الباحث الأمني جوناثان زدزيارسكي الضوء على مدى استمرار ثغرة قابلية اقتران نظام iOS ويمكنه عرض نافذة للمستخدمين على جهازك الضار حتى بعد عدم اتصالك بالكشك:
إذا لم تكن على دراية بكيفية عمل الإقران على جهاز iPhone أو iPad ، فهذه هي الآلية التي ينشئ سطح المكتب بها علاقة موثوقة مع جهازك بحيث يمكن لـ iTunes أو Xcode أو أي أدوات أخرى التحدث إليه. بمجرد إقران جهاز سطح المكتب ، يمكنه الوصول إلى مجموعة من المعلومات الشخصية على الجهاز ، بما في ذلك دفتر العناوين والملاحظات والصور ومجموعات الموسيقى وقاعدة بيانات الرسائل القصيرة وذاكرة التخزين المؤقت للكتابة ، ويمكن أيضًا بدء نسخ احتياطي كامل للهاتف. بمجرد إقران الجهاز ، يمكن الوصول إلى كل هذا وغيره لاسلكياً في أي وقت ، بغض النظر عما إذا كان قد تم تشغيل WiFi sync. يدوم الإقران لحياة نظام الملفات: أي بمجرد إقران جهاز iPhone أو iPad الخاص بك بجهاز آخر ، تستمر علاقة الإقران حتى تقوم باستعادة الهاتف إلى حالة المصنع.
هذه الآلية ، التي تهدف إلى جعل استخدام جهاز iOS الخاص بك غير مؤلم وممتعة ، يمكن أن تخلق حالة مؤلمة إلى حد ما: حيث إن الكشك الذي قمت بشحنه لجهاز iPhone الخاص بك ، يمكنه ، نظريًا ، الحفاظ على سلك توصيل Wi-Fi لجهاز iOS الخاص بك من أجل استمرار الوصول حتى بعد قمت بفصل هاتفك وتوصيله إلى كرسي استراحة قريب من المطار للعب جولة (أو أربعين) من Angry Birds.
كيف يجب أن أكون?
نحن لا نزال نشعر بالقلق هنا في How-To Geek ، ونعطيك إياها على الدوام على نحو مستقيم: إن تقشير العصير حاليًا يشكل تهديدًا نظريًا إلى حد كبير ، وفرص شحن منافذ USB في الكشك في مطارك المحلي هي في الواقع سر الجبهة لسحب البيانات وحقن البرمجيات الخبيثة منخفضة جدا. هذا لا يعني ، على أية حال ، أنه يجب عليك فقط تجاهل الكتفين وأن تنسى على الفور الخطر الأمني الحقيقي الذي يجعل توصيل هاتفك الذكي أو جهازك اللوحي في جهاز غير معروف.
قبل عدة سنوات ، عندما كان تمديد Firefox Firesheep هو حديث المدينة في الدوائر الأمنية ، كان هذا التهديد نظريًا إلى حد كبير ولكن لا يزال يمثل تهديدًا حقيقيًا من خلال إضافة متصفح بسيطة تسمح للمستخدمين باختطاف جلسات مستخدم خدمة الويب للمستخدمين الآخرين على عقدة Wi-Fi المحلية التي أدت إلى تغييرات كبيرة. بدأ المستخدمون النهائيون في أخذ أمن جلسات تصفح الإنترنت بمزيد من الجدية (باستخدام أساليب مثل حفر الأنفاق من خلال اتصالاتهم المنزلية عبر الإنترنت أو الاتصال بشبكات VPN) ، وأجرت شركات الإنترنت الكبرى تغييرات أمنية كبيرة (مثل تشفير جلسة المتصفح بالكامل وليس مجرد تسجيل الدخول).
على وجه التحديد ، هذه الطريقة ، مما يجعل المستخدمين على دراية بالتهديد المتمثل في رفع العصير يقللان من احتمال أن يصبح الناس عصيرًا يزيد ويزيد الضغط على الشركات لإدارة ممارسات الأمان بشكل أفضل (إنه أمر رائع ، على سبيل المثال ، أن أزواج جهاز iOS الخاص بك بهذه السهولة والسهولة يجعل تجربة المستخدم الخاصة بك على نحو سلس ، ولكن الآثار المترتبة على الاقتران مدى الحياة مع ثقة 100 ٪ في الجهاز المقترنة هي خطيرة جدا).
كيف يمكنني تجنب الاصطياد عصير?
على الرغم من أن انتشار العصير ليس تهديدًا واسع النطاق كخطر سرقة الهاتف أو التعرض لفيروسات ضارة عبر التنزيلات المخترقة ، يجب عليك اتخاذ احتياطات بديهية لتجنب التعرض للأجهزة التي قد تؤدي إلى الوصول إلى أجهزتك الشخصية. الصورة مجاملة من Exogear.
تركز الاحتياطات الأكثر وضوحا حول جعلها ببساطة غير ضرورية لشحن هاتفك باستخدام نظام طرف ثالث:
ابق على أجهزتك مرفوعة: أكثر الاحتياطات وضوحا هو الحفاظ على جهاز المحمول الخاص بك مشحونة. اجعل من عادة شحن هاتفك في المنزل والمكتب في حالة عدم استخدامه بنشاط أو الجلوس في مكتبك أثناء العمل. في الأوقات القليلة التي تجد نفسك تحدق فيها بشريط بطارية أحمر بنسبة 3٪ عند السفر أو بعيدًا عن المنزل ، كان ذلك أفضل.
احمل شاحن شخصي: أصبحت أجهزة الشحن صغيرة جدًا وخفيفة الوزن لدرجة أنها بالكاد تزن أكثر من كابل USB الفعلي الذي ترتبط به. ارمي الشاحن في حقيبتك حتى تتمكن من شحن هاتفك الخاص والحفاظ على التحكم في منفذ البيانات.
احمل بطارية احتياطية: سواء اخترت حمل بطارية احتياطية كاملة (للأجهزة التي تسمح لك بتبديل البطارية فعليًا) أو بطارية احتياطية خارجية (مثل بطارية 2600mAh صغيرة) ، يمكنك الانتقال لمدة أطول دون الحاجة إلى توصيل هاتفك بمنفذ أو منفذ كشك.
بالإضافة إلى ضمان أن هاتفك يحافظ على بطارية كاملة ، هناك تقنيات إضافية يمكنك استخدامها (على الرغم من أنه ، كما يمكنك أن تتخيل ، فهذه هي أقل من مثالية وغير مضمونة للعمل في ظل سباق التسلح المتطور باستمرار لمآثر الأمن). على هذا النحو ، لا يمكننا أن نؤيد أيًا من هذه التقنيات على أنها فعالة حقًا ، ولكنها بالتأكيد أكثر فعالية من عدم فعل أي شيء.
قفل هاتفك: عندما يكون هاتفك مقفلاً ومغلقًا بالفعل ولا يمكن الوصول إليه بدون إدخال رقم التعريف الشخصي أو رمز المرور المكافئ ، فيجب ألا يقرن هاتفك مع الجهاز المتصل به. ستقوم الأجهزة التي تعمل بنظام التشغيل iOS فقط بالاقتران عند إلغاء القفل ، ولكن مرة أخرى ، كما أشرنا سابقًا ، يحدث الإقران في غضون ثوانٍ لذا كان من الأفضل لك التأكد من أن الهاتف مؤمن.
شغِّل الهاتف لأسفل: تعمل هذه التقنية فقط على طراز الهاتف حسب طراز الهاتف لأن بعض الهواتف ، على الرغم من انخفاض الطاقة ، تظل تعمل على دارة USB بالكامل وتسمح بالوصول إلى ذاكرة التخزين المؤقت في الجهاز.
تعطيل الاقتران (أجهزة Jailbroken iOS فقط): أصدر جوناثان Zdziarski ، الذي ورد ذكره في المقال سابقًا ، تطبيقًا صغيرًا لأجهزة iOS المعزولة التي تسمح للمستخدم النهائي بالتحكم في سلوك الإقران في الجهاز. يمكنك العثور على طلبه ، PairLock ، في متجر Cydia وهنا.
إحدى التقنيات النهائية التي يمكنك استخدامها ، والتي تعتبر فعالة ولكن غير ملائمة ، هي استخدام كابل USB مع أسلاك البيانات إما إزالتها أو اختصارها. وتباع هذه الكابلات ، التي تُباع ككابلات "طاقة فقط" ، السلكين الضروريين لنقل البيانات ، ولا يوجد سوى سلكين لنقل الطاقة المتبقيين. ومع ذلك ، فإن أحد الجوانب السلبية لاستخدام مثل هذا الكبل هو أن الجهاز عادةً ما يتقاضى شحنًا أكثر بطئًا حيث تستخدم أجهزة الشحن الحديثة قنوات البيانات للتواصل مع الجهاز وتعيين حد أقصى مناسب لنقل البيانات (في حالة غياب هذا الاتصال ، سيتوقف الشاحن عن أدنى عتبة آمنة).
.