Путешественникам рекомендуется избегать использования общественных зарядных станций USB в аэропортах, отелях и других местах, поскольку они могут содержать опасные вредоносные программы, заявил окружной прокурор Лос-Анджелеса.
Соединение через USB было разработано для работы в качестве среды передачи данных и энергии, без жесткого барьера между ними. По мере того, как смартфоны становились все более популярными в последнее десятилетие, исследователи безопасности выяснили, что злоумышленники могут использовать USB-соединения для кражи данных, в то время как по мнению пользователя, они могут передавать только электроэнергию.
За эти годы были собраны несколько доказательств. Самым известным является Mactans, представленный на конференции по безопасности Black Hat 2013, который представлял собой вредоносное зарядное устройство USB, способное развертывать вредоносное ПО на устройствах iOS.
Три года спустя, в 2016 году, исследователь безопасности Сэми Камкар продолжил эту концепцию с KeySweeper, скрытным устройством на базе Arduino, которое маскировалось под функционирующее зарядное устройство USB, которое беспроводным и пассивным образом прослушивает, дешифрует, регистрирует и сообщает (через GSM) все нажатия клавиш с любой беспроводной клавиатуры Microsoft в непосредственной близости.
После того, как Камкар выпустил KeySweeper, ФБР разослало общенациональное предупреждение, рекомендуя организациям не использовать зарядные устройства USB.
Кроме того, в 2016 году другая группа исследователей разработала еще одно проверенное вредоносное зарядное устройство USB. Оно могло записывать экран и отображать его на другом устройстве.
Предупреждение окружного прокурора Лос-Анджелеса охватывает множество направлений атак, поскольку преступники могут по-разному использовать зарядные устройства USB.
Наиболее распространенный способ — через подключаемые зарядные устройства USB. Это портативные зарядные устройства USB, которые можно подключить к розетке переменного тока. Преступники могут оставить такие устройства «случайно» в общественных местах.
Существуют также зарядные устройства USB, установленные непосредственно внутри зарядных станций в общественных местах, где пользователь имеет доступ только к USB-порту.
Микроконтроллеры и электронные компоненты стали такими маленькими в наши дни, что преступники могут скрывать мини-компьютеры и вредоносные программы внутри самого USB-кабеля. Одним из таких примеров является кабель O.MG.
Учитывая все это, эксперты, как и прокуратура США рекомендуют путешественникам:
- Использовать розетку переменного тока, а не зарядную станцию USB.
- Брать с собой зарядное устройство, работающее от сети переменного тока или бортовой сети автомобиля.
- Подумать о покупке портативного зарядного устройства для экстренных случаев.
Но есть и другие контрмеры, которые могут принять пользователи. Один из них заключается в том, что владельцы устройств могут купить USB-кабели «без передачи данных», где удалены USB-контакты, отвечающие за канал передачи данных, оставив на месте только цепь передачи питания. Такие кабели можно найти в интернет-магазинах.
Существуют также так называемые «USB-презервативы», которые служат посредником между ненадежным зарядным устройством USB и устройством пользователя.
В качестве примера можно привести устройства SyncStop и Juice-Jack Defender. В какой-то момент даже исследователи Лаборатории Касперского пытались создать USB-презерватив, но их кампания на Kickstarter не смог собрать необходимые средства.