Ponsel cerdas Anda perlu diisi ulangnamun lagi dan Anda bermil-mil dari pengisi daya di rumah; kios pengisian daya publik itu tampak cukup menjanjikan - cukup colokkan ponsel Anda dan dapatkan energi yang manis dan manis yang Anda dambakan. Apa yang mungkin salah, kan? Berkat ciri-ciri umum dalam desain perangkat keras dan perangkat lunak ponsel, cukup banyak hal yang bisa dibaca untuk mempelajari lebih lanjut tentang pembajakan jus dan cara menghindarinya.
Terlepas dari jenis smartphone modern yang Anda miliki-baik itu perangkat Android, iPhone, atau BlackBerry-ada satu fitur umum di semua ponsel: catu daya dan aliran data melewati kabel yang sama. Apakah Anda menggunakan koneksi USB miniB yang sekarang standar atau kabel milik Apple, situasinya sama: kabel yang digunakan untuk mengisi ulang baterai di telepon Anda adalah kabel yang sama yang Anda gunakan untuk mentransfer dan menyinkronkan data Anda.
Pengaturan ini, data / daya pada kabel yang sama, menawarkan vektor pendekatan untuk pengguna jahat untuk mendapatkan akses ke telepon Anda selama proses pengisian; memanfaatkan data USB / kabel daya untuk mengakses data ponsel secara tidak sah dan / atau menyuntikkan kode berbahaya ke perangkat yang dikenal sebagai Juice Jacking.
Serangan itu bisa sesederhana serbuan privasi, di mana ponsel Anda berpasangan dengan komputer yang disembunyikan di dalam kios pengisian dan informasi seperti foto pribadi dan informasi kontak ditransfer ke perangkat jahat itu. Serangan itu juga bisa menjadi invasif seperti suntikan kode berbahaya langsung ke perangkat Anda. Pada konferensi keamanan BlackHat tahun ini, peneliti keamanan Billy Lau, YeongJin Jang, dan Chengyu Song sedang mempresentasikan "MACTANS: Menyuntikkan Malware ke Perangkat iOS Via Chargers Berbahaya", dan di sini adalah kutipan dari abstrak presentasi mereka:
Dalam presentasi ini, kami menunjukkan bagaimana perangkat iOS dapat dikompromikan dalam satu menit setelah dicolokkan ke pengisi daya berbahaya. Kami pertama kali memeriksa mekanisme keamanan Apple yang ada untuk melindungi terhadap instalasi perangkat lunak sewenang-wenang, kemudian menjelaskan bagaimana kemampuan USB dapat dimanfaatkan untuk melewati mekanisme pertahanan ini. Untuk memastikan persistensi infeksi yang dihasilkan, kami menunjukkan bagaimana penyerang dapat menyembunyikan perangkat lunak mereka dengan cara yang sama seperti Apple menyembunyikan aplikasi bawaannya sendiri.
Untuk mendemonstrasikan aplikasi praktis dari kerentanan ini, kami membangun bukti dari konsep charger berbahaya, yang disebut Mactans, menggunakan BeagleBoard. Perangkat keras ini dipilih untuk menunjukkan kemudahan dengan pengisi daya USB yang tidak bersalah dan berbahaya yang dapat dibangun. Sementara Mactans dibangun dengan jumlah waktu yang terbatas dan anggaran yang kecil, kami juga secara singkat mempertimbangkan apa yang dapat dilakukan oleh musuh yang bermotivasi lebih tinggi dan memiliki dana yang cukup.
Menggunakan perangkat keras yang murah dan kerentanan keamanan yang mencolok, mereka dapat memperoleh akses ke perangkat iOS generasi saat ini dalam waktu kurang dari satu menit, meskipun banyak tindakan pencegahan keamanan yang dilakukan Apple untuk secara khusus menghindari hal semacam ini.
Eksploitasi semacam ini hampir tidak merupakan gejolak baru pada radar keamanan. Dua tahun lalu di konferensi keamanan DEF CON 2011, para peneliti dari Keamanan Aires, Brian Markus, Joseph Mlodzianowski, dan Robert Rowley, membangun sebuah kios pengisian untuk secara khusus menunjukkan bahaya dari pembajakan jus dan memperingatkan publik tentang betapa rentannya ponsel mereka ketika terhubung ke kios - gambar di atas ditampilkan kepada pengguna setelah mereka masuk ke kios berbahaya. Bahkan perangkat yang telah diinstruksikan untuk tidak memasangkan atau berbagi data masih sering dikompromikan melalui kios Keamanan Aires.
Yang lebih meresahkan adalah bahwa paparan terhadap kios berbahaya dapat menciptakan masalah keamanan berlama-lama bahkan tanpa suntikan langsung kode berbahaya. Dalam artikel terbaru tentang masalah ini, peneliti keamanan Jonathan Zdziarski menyoroti bagaimana kerentanan pasangan iOS bertahan dan dapat menawarkan pengguna jahat jendela ke perangkat Anda bahkan setelah Anda tidak lagi berhubungan dengan kios:
Jika Anda tidak akrab dengan cara pasangan bekerja di iPhone atau iPad, ini adalah mekanisme yang digunakan desktop Anda untuk menjalin hubungan tepercaya dengan perangkat Anda sehingga iTunes, Xcode, atau alat lain dapat berbicara dengannya. Setelah mesin desktop dipasangkan, ia dapat mengakses sejumlah informasi pribadi di perangkat, termasuk buku alamat Anda, catatan, foto, koleksi musik, basis data sms, mengetik cache, dan bahkan dapat memulai pencadangan penuh telepon. Setelah perangkat dipasangkan, semua ini dan lainnya dapat diakses secara nirkabel kapan saja, terlepas dari apakah Anda mengaktifkan sinkronisasi WiFi. Pasangan yang berpasangan berlangsung seumur hidup sistem file: yaitu, setelah iPhone atau iPad Anda dipasangkan dengan komputer lain, hubungan pasangan itu akan bertahan hingga Anda mengembalikan ponsel ke keadaan pabrik.
Mekanisme ini, yang dimaksudkan untuk menggunakan perangkat iOS Anda tanpa rasa sakit dan menyenangkan, sebenarnya dapat menciptakan keadaan yang agak menyakitkan: kios yang baru saja Anda isi ulang iPhone dengan kaleng, secara teoritis, mempertahankan kabel umbilical Wi-Fi ke perangkat iOS Anda untuk akses berkelanjutan bahkan setelah Anda telah mencabut telepon Anda dan merosot ke kursi lounge bandara terdekat untuk memutar Angry Birds yang bulat (atau empat puluh).
Kami bukan apa-apa tetapi alarmis di sini di How-To Geek, dan kami selalu memberikannya kepada Anda secara langsung: saat ini jus jacking adalah ancaman teoretis, dan kemungkinan bahwa port pengisian USB di kios di bandara setempat Anda sebenarnya adalah rahasia depan untuk penyedotan data dan malware-injecting komputer sangat rendah. Namun, ini tidak berarti bahwa Anda harus mengangkat bahu Anda dan segera melupakan risiko keamanan nyata yang menancapkan ponsel cerdas atau tablet Anda ke dalam perangkat yang tidak dikenal.
Beberapa tahun yang lalu, ketika ekstensi Firefox Firesheep adalah pembicaraan tentang kota di lingkaran keamanan, itu adalah ancaman yang paling teoritis tetapi masih sangat nyata dari ekstensi browser sederhana yang memungkinkan pengguna untuk membajak sesi pengguna layanan web dari pengguna lain di simpul Wi-Fi lokal yang menyebabkan perubahan signifikan. Pengguna akhir mulai mengambil keamanan sesi penjelajahan mereka dengan lebih serius (menggunakan teknik seperti melakukan tunneling melalui koneksi internet di rumah mereka atau menghubungkan ke VPN) dan perusahaan internet utama melakukan perubahan keamanan besar (seperti mengenkripsi seluruh sesi browser dan bukan hanya login).
Dengan cara seperti ini, membuat pengguna sadar akan ancaman jus mendongkrak keduanya mengurangi kemungkinan bahwa orang-orang akan dibajak jus dan meningkatkan tekanan pada perusahaan untuk mengelola praktik keamanan mereka dengan lebih baik (itu hebat, misalnya, bahwa perangkat iOS Anda berpasangan begitu mudah dan membuat pengalaman pengguna Anda mulus, tetapi implikasi dari pairing seumur hidup dengan kepercayaan 100% pada perangkat yang dipasangkan cukup serius).
Meskipun jus pembajakan tidak meluas sebagai ancaman sebagai pencurian telepon langsung atau paparan virus berbahaya melalui unduhan yang dikompromikan, Anda tetap harus mengambil tindakan pencegahan untuk menghindari paparan sistem yang dapat membahayakan akses perangkat pribadi Anda.Gambar milik Exogear.
Pencegahan yang paling jelas berkisar di sekitar sehingga tidak perlu mengisi daya ponsel Anda menggunakan sistem pihak ketiga:
Jauhkan Perangkat Anda Diakhiri: Tindakan pencegahan yang paling jelas adalah menjaga agar perangkat seluler Anda tetap terisi. Biasakan untuk mengisi daya ponsel Anda di rumah dan kantor ketika Anda tidak secara aktif menggunakannya atau duduk di meja Anda melakukan pekerjaan. Semakin sedikit Anda menemukan diri Anda menatap bar baterai merah 3% saat Anda bepergian atau jauh dari rumah, semakin baik.
Bawa Pengisi Pribadi: Pengisi daya menjadi sangat kecil dan ringan sehingga hampir tidak memiliki bobot lebih dari kabel USB yang sebenarnya. Lempar charger di tas Anda sehingga Anda dapat mengisi daya ponsel Anda sendiri dan mempertahankan kendali atas port data.
Bawa Baterai Cadangan: Apakah Anda memilih untuk membawa baterai cadangan penuh (untuk perangkat yang memungkinkan Anda untuk secara fisik menukar baterai) atau baterai cadangan eksternal (seperti ini kecil 2600mAh satu), Anda dapat pergi lebih lama tanpa perlu menambatkan ponsel Anda ke kios atau stopkontak .
Selain memastikan ponsel Anda memiliki baterai penuh, ada teknik perangkat lunak tambahan yang dapat Anda gunakan (meskipun, seperti yang Anda bayangkan, ini kurang ideal dan tidak dijamin untuk bekerja mengingat perlombaan senjata yang terus berkembang dari eksploitasi keamanan). Dengan demikian, kita tidak dapat benar-benar mendukung teknik-teknik ini sebagai benar-benar efektif, tetapi mereka pasti lebih efektif daripada tidak melakukan apa-apa.
Kunci Ponsel Anda: Ketika ponsel Anda terkunci, benar-benar terkunci dan tidak dapat diakses tanpa input PIN atau kode sandi yang setara, telepon Anda tidak boleh dipasangkan dengan perangkat yang terhubung dengannya. Perangkat iOS hanya akan berpasangan saat tidak terkunci - tetapi sekali lagi, seperti yang kami soroti sebelumnya, pemasangan dilakukan dalam hitungan detik sehingga Anda sebaiknya memastikan ponsel benar-benar terkunci.
Power the Phone Down: Teknik ini hanya berfungsi pada model telepon berdasarkan model ponsel karena beberapa ponsel akan, meskipun dimatikan, masih menyala di seluruh sirkuit USB dan memungkinkan akses ke penyimpanan flash di perangkat.
Nonaktifkan Pairing (Jailbroken iOS Devices Only): Jonathan Zdziarski, yang disebutkan sebelumnya dalam artikel itu, merilis aplikasi kecil untuk perangkat iOS yang di-jailbreak yang memungkinkan pengguna akhir untuk mengontrol perilaku pasangan perangkat. Anda dapat menemukan aplikasinya, PairLock, di Cydia Store dan di sini.
Salah satu teknik terakhir yang dapat Anda gunakan, yang efektif tetapi tidak nyaman, adalah menggunakan kabel USB dengan kabel data baik dihapus atau korslet. Dijual sebagai "hanya daya" kabel, kabel ini tidak memiliki dua kabel yang diperlukan untuk transmisi data dan hanya memiliki dua kabel untuk transmisi daya yang tersisa. Namun, salah satu kelemahan penggunaan kabel tersebut adalah perangkat Anda biasanya akan mengisi daya lebih lambat karena pengisi daya modern menggunakan saluran data untuk berkomunikasi dengan perangkat dan menetapkan ambang transfer maksimum yang sesuai (tidak ada komunikasi ini, pengisi baterai akan ambang batas aman terendah).
Pada akhirnya, pertahanan terbaik terhadap perangkat seluler yang disusupi adalah kesadaran. Terus isi daya perangkat Anda, aktifkan fitur keamanan yang disediakan oleh sistem operasi (tahu bahwa itu tidak mudah dibasmi dan setiap sistem keamanan dapat dieksploitasi), dan hindari menghubungkan ponsel Anda ke stasiun pengisian daya dan komputer yang tidak dikenal dengan cara yang sama Anda dengan bijaksana menghindari membuka lampiran dari pengirim yang tidak dikenal.
