امکان دزدی اطلاعات گوشی در ایستگاههای شارژ مکانهای عمومی
اتصالات USB برای انتقال همزمان داده و انرژی توسعه یافتهاند. باتوجه به افزایش چشمگیر گوشیهای هوشمند طی دههی گذشته، روشهای گستردهای برای دزدی اطلاعات و رخنه به موبایل قربانیان ایجاد شده است. محققان امنیتی بهتازگی روشی برای تغییر اتصال USB یافتهاند که در عین شارژ، اطلاعاتی را نیز از گوشی قربانی دریافت خواهد کرد. این روش حمله به گوشیهای هوشمند Juice Jacking نامیده میشود.
طی سالهای گذشته چندین روش حملهی هکرها به گوشیهای هوشمند پیشبینی شد که مطرحترین نمونه، Mactans نام دارد. این ایده که در کنفرانس Black Hat سال ۲۰۱۳ معرفی شد، بهواسطهی ایستگاه شارژ آلوده گوشیهای iOS را هدف قرار میداد. سه سال بعد و در سال ۲۰۱۶، محقق امنیتی با نام سامی کامکار پا را فراتر گذاشت و KeySweeper را معرفی کرد؛ دستگاهی که خود را بهعنوان ایستگاه شارژ USB معرفی میکند اما در پسزمینه و بهصورت بیسیم عملکرد تمامی کیبوردهای بیسیم مایکروسافت را دزدی و رمزگشایی میکرد. در همان سال FBI اخطاری برای تمام سازمان و نهادها جهت نصب و استفاده از ایستگاههای شارژ ارسال کرد.
تیم امنیتی دیگری در سال ۲۰۱۶ بدافزار پیشرفتهای را در ایستگاه شارژی تعبیه کرد که قابلیت ضبط فیلم از نمایشگر گوشی را طی اتصال به شارژ داشت. این عملیات با نام Video Jacking شناخته میشود.
حال بهتازگی دادگستری ایالت کالیفرنیا با انتشار گزارشی، تمامی بدافزارهای شناخته شدهی ایستگاههای شارژ را برای اخطار به سازمان و نهادهای اعلام کرده است. هکرها میتوانند در برخی از ایستگاههای شارژ، نمونهی دارای بدافزار خود را در کنار سایر شارژرها قرار دهند تا بدون جلب توجه اقدام به دزدی اطلاعات کنند. حتی برخی شارژرهای به جا مانده در مکانهای عمومی نیز میتواند آغشته به بدافزار بوده باشد. حتی کابلهای USB نیز میتوانند حاوی بدافزار باشند. یکی از مثالهای این موضوع O.MG Cable است که ظاهری مشابه کابلهای عادی دارد، اما پس از اتصال آن به گوشی هوشمند بدافزار وارد دستگاه شده و فعالیت خود را آغاز میکند. به همین دلیل پیشنهاد میشود کاربر اولویت را استفاده از شارژر خود و اتصال آن به پریز برق در مکانهای عمومی قرار دهد.
البته کاربران میتوانند برای حل این دسته از مشکلات از کابلهای USB مخصوصی که تنها وظیفهی انتقال توان را به عهده دارند و فاقد پین و اتصالات لازم برای انتقال دیتا هستند بهره ببرند. این دسته از کابلها عموما با نام no-data transfer شناخته میشوند. بهطور خلاصه برای افزایش امنیت در این رابطه موارد زیر پیشنهاد میشود:
- از ایستگاههای شارژ عمومی استفاده نکنید.
- شارژر مخصوص خود را بههمراه داشته باشید.
- در مواقع ضروری از پاوربانک بهره ببرید.
آیا واقعا باید نگران حملههای Juice Jacking بود؟
پس از انتشار گزارش دادگستری کالیفرنیا، برخی از محققان و متخصصان امنیتی به این گزارش اعتراض کردند. بهگفتهی آنها تاکنون هیچ موردی در دنیای واقعی از این دسته از حملات گزارش نشده است. همچنین به اعتقاد آنها اعلانیهی دسترسی دیتا به گوشی در سیستم عاملهای اندروید و iOS تا حد زیادی از این خطرات جلوگیری خواهد کرد.
دادگستری کالیفرنیا نیز با قبول نبود موردی در دنیای واقعی در خصوص حملات Juice Jacking، این اخطار را صرفا برای پیشگیری از مشکلات و حملات آیندهی هکرها عنوان کرد.