Meyve suyunu hatırlıyor musun? Gezginleri endişelendirmek için her iki yılda bir ortaya çıkan bir terim. Bu bahar, yeni, daha sofistike bir saldırı biçimi de dahil olmak üzere başka bir hikaye gördü. Ama gerçekten ne kadar tehdit, gerçekten?
Meyve Jacking, bir saldırganın kötü amaçlı yazılım yüklemek veya telefonunuzdan bilgi çalmak için kötü niyetli bir kamu USB şarj cihazı kullandığı yerdir. Teorik olarak, kurban, pillerini doldurmak için havaalanlarında, restoranlarda veya toplu taşıma araçlarında bulunanlar gibi bir USB şarj limanına takıyor. Saldırgan, telefonla bir veri bağlantısı başlatmak için şarj cihazını programladı ve belki de dosyaları görüntülemelerine veya uygulamaları kontrol etmelerini sağladı.
Hem Apple hem de Android İşletim Sistemi Geliştiricisi Google, yıllar önce işletim sistemlerine giren meyve suyu ile temel korumaları kodladı. Kullanıcıların telefonu bir USB bağlantı noktası üzerinden kontrol etmek için herhangi bir isteği onaylaması için yazılımlarını güncellediler.
Bununla birlikte, ARS Technica’nın geçen hafta bildirdiği gibi, araştırmacılar bu mekanizmaları, ChoiceJacking adlı tema üzerinde yeni bir varyasyonda bir yol buldular.
ARS, Avusturya’nın Graz Teknoloji Üniversitesi’ndeki araştırmacılar tarafından icat edilen istismarın ayrıntılı bir teknik analizini sunmaktadır. Kısacası, kullanıcının onlar için düğme basmasını taklit ederek telefonu kontrol etme izni verir.
Devlet kurumları meyve suyu kriko riskleri konusunda uyarmaya devam ediyor. TSA en sonuncuydu ve Mart ayında Facebook’ta sorun hakkında bir uyarı yayınladı:
“Bilgisayar korsanları kötü amaçlı yazılımları USB bağlantı noktalarına yükleyebilir (bize ‘meyve suyu/port kriko’ olarak adlandırılır). Yani, bir havaalanına sahip olduğunuzda telefonunuzu doğrudan bir USB bağlantı noktasına takmayın. TSA uyumlu güç tuğlasını veya pil paketinizi getirin ve oraya takın.”
TSA iyi niyetli, ancak zamanların arkasında. FBI’ın Denver ofisi 2023’te bu tehdidi tweetledi ve LA County Bölge Savcılığı 2019’da bunu yayınladı.
Araştırmacılar, DEFCON konferansının halkların telefonlarında bir uyarı mesajı yanıp sönecek halka açık şarj istasyonları kurduğu en az 2011’den beri tehdidi vurguladılar. O zamandan beri, diğerleri olası riskleri sundu ve girişimci Tinkererler, bunlara takıldığında cihazların kontrolünü ele geçiren kötü niyetli kablolar yayınladı.
2019’dan bu yana bu konu hakkında bir tavsiye sayfası olan FCC, iki yıl önce gerçek dünya saldırıları bulamadığını ve Malwarebytes’in o zamandan beri bulamadığını söyledi.
Bununla birlikte, halka açık saldırıların olmaması, Juice Jacking’in bir risk olmadığı anlamına gelmez. Teorik olarak mümkün. Peki buna karşı nasıl önleyebilirsiniz?
Hem Apple hem de Google, bağlı bir USB aygıtı telefonunuzu devralmayı istediğinde, bir düğmeye basmaktan daha sağlam kimlik doğrulama gerektirecek şekilde işletim sistemlerini güncelledi. Ancak, tüm iPhone kullanıcıları cihazlarını mutlaka güncelleyemez. Android tabanlı akıllı telefon satıcıları, işletim sisteminin kendi sürümlerini kendi programlarına uygulayabilirler ve birçoğunun bunu yapmaları durumunda yeni korumalar sunmak için uzun zaman alır.
Telefonunuzun kötü niyetli bir şarj istasyonu tarafından kaçırılmayacağından emin olmanın bir yolu, veri iletişim pimlerinin bağlantısı kesilmiş bir USB kablosu kullanmaktır, yani kötü niyetli bir şarj bağlantı noktası telefonunuzla konuşamaz. Bununla birlikte, ARS makalesi bunun bazı telefonlardaki şarj işlemine müdahale edebileceği konusunda uyarıyor.
Bir alternatif, takmadan önce telefonunuzu düşürmek veya kendi taşınabilir şarj pilinizi sizinle almak ve bağlantı noktalarını tamamen atlamaktır.
Başka bir notta, TSA Facebook gönderisi başka bir tavsiye de sundu: “Özellikle çevrimiçi satın alımlar yapmayı planlıyorsanız, ücretsiz kamu WiFi kullanmayın” diye uyardı. “Güvensiz WiFi kullanırken hiçbir hassas bilgi girmeyin [sic]. “
Bu tavsiyenin değeri var. Saldırganlar, HTTP’lerin web sitelerinde ilerlemesi, bunun günümüzde günlük tarama için daha az risk olduğu anlamına gelmesine rağmen, kamu Wi-Fi bağlantılarına göz atabilir. Ancak, çevrimiçi bankacılık gibi hassas bir nitelikte bir şey yapıyorsanız, trafiğinizi şifrelemek için bir VPN kullanabilirsiniz.
Basit bir alternatif, bir tablet veya PC kullanıyorsanız telefonunuzu bağlayarak hücresel verileri kullanmaktır.
Bu anti-juice-hacking ve wi-fi gözetleme korumalarından hangisini seçmelisiniz? Tüm siber güvenlik kararlarında olduğu gibi, bu ne kadar riskli olmaya hazır olduğunuz sorusudur. Şahsen, dikkatli olun. Şimdi biraz rahatsızlık size daha sonra önemli sorunlardan kurtulabilir.
Sadece tehditler hakkında rapor vermiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Bugün MalwareBebytes’i indirerek tehditleri cihazlarınızdan uzak tutun.