Хакеры взламывают смартфоны через обычную зарядку

Полгода новость сотрясает интернет, и сила потрясения не снижается. В августе 2019 года на очередной конференции DEF CON Hacking Conference в Лас-Вегасе некий гений под ником MG представил собственную разработку.

Провод O.MG для устройств компании Apple внешне ничем не отличается от оригинальной зарядки. С той лишь разницей, что внутри «зашит» вирус, который моментально дает полный удаленный доступ к устройству. С его помощью хакер свободно считывает необходимую информацию, устанавливает или удаляет программы, перезагружает систему, сбрасывает настройки. Затем вирус самоустраняется, зачищая за собой все следы. Стоимость шпионского аксессуара — $200 [1].

Шок? Фантастика? Вовсе нет.

Хакеры давно не дремлют

Еще в 2011 году на той же DEF CON Hacking Conference разработчики наглядно демонстрировали уязвимость зарядных USB-станций, установленных в общественных местах: на остановках транспорта, в самом транспорте, кафе, аэропортах. Подключенное для зарядки устройство хакеры легко взламывали, получая к нему неограниченный доступ. Такая атака получила название juice jacking (от англ. «выжимание соков»).

Понятно, что взлом устройств через USB-зарядку был вопросом времени. Прошло всего три года, и на брифинге по безопасности Blackhat USA 2013 общественности представили хакерскую зарядку Mactans для устройств Apple. Пока iPhone подсоединен через нее к электросети, вредоносная программа обходит встроенные в iOS меры безопасности и маскируется под фоновый процесс операционной системы [2]. Остальное — дело техники.

Три, два один! Или даже меньше

Шокирует не только возможность взлома смартфона через зарядку, но и время, за которое проходит атака.

В 2016 году «Лаборатория Касперского» провела эксперимент. Ее сотрудники взломали смартфон, подключенный к компьютеру для зарядки через USB-порт. С помощью вредоносной программы им удалось не просто получить доступ к информации на гаджете, но и полностью обновить прошивку. Затем программа убрала следы пребывания и самоликвидировалась. На смартфоне осталось приложение SuperSU с безграничным доступом к системе, которое пользователь не может удалить сам [3].

Все описанные процессы заняли (внимание!) не больше трех минут.

Взломать смартфон через зарядное устройство вряд ли займет больше времени. Вот и получается: попросил шнур, поставил гаджет на подзарядку, вышел покурить, а вернулся информационно выжатым. Juice jacking, знаете ли.

Знайте куда вставлять

«Да ладно! Меня это не касается». Ой-вей! Так ли это? Вы приходите на встречу (формальную или неформальную) и обнаруживаете, что на смартфоне садится заряд. Какой первый порыв? Правильно, попросить у кого-то зарядку или подсоединиться к чужому ноуту через шнур.

Вам подарили новое зарядное устройство. В упаковке! Заподозрите ли вы что-то неладное? Теперь уже да, а до прочтения этой статьи?

Что делать? Возьмите за правило:

1. Не пользоваться чужими зарядками, особенно подаренными партнерами, друзьями. Покупайте их лично в авторизированных точках продаж.
2. Быстро решает вопрос обычный PowerBank. Если он сел, лучше зарядить вначале пауэрбанк от общественной сети, а потом от него смартфон.
3. Если ситуация безвыходная, а подзарядить смартфон очень надо, вначале выключите его, а потом пользуйтесь чужой зарядкой. Это не гарантирует полную безопасность, но усложнит работу хакерам.
4. Регулярно устанавливайте обновления операционной системы и приложений. Они постоянно совершенствуются с учетом новых опасностей.

А можно забить на правила и пойти простым путем — надевать на чужую зарядку USB-презерватив. Переходник с USB-разъемом с одной стороны и USB-портом с другой поддерживает только передачу электропитания. Просто, дешево и 100% безопасно.

Поделитесь информацией с тем, кому она будет полезной.

Источники:
1. https://www.forbes.ru/tehnologii/383831-pochemu-nikogda-nelzya-polzovatsya-chuzhoy-zaryadkoy-dlya-smartfona
2. https://en.wikipedia.org/wiki/Juice_jacking
3. https://nag.ru/news/newsline/29341/vzlomat-smartfon-s-pomoschyu-usb-zaryadki-eksperiment-laboratorii-kasperskogo-.html