KrebsOnSecurity, Twitter’dan gelen tweetler sayesinde bu hafta trafikte güzel bir artış yaşadı. Federal Soruşturma Bürosu (FBI) ve Federal İletişim Komisyonu (FCC) hakkında “meyve suyu kriko“, ilk olarak 2011’de, bir kişi mobil cihazını halka açık bir şarj kioskuna taktığında olası bir veri hırsızlığı tehdidini tanımlamak için ortaya atılan bir terimdir. Uyarılara neyin yol açmış olabileceği belirsizliğini koruyor, ancak iyi haber şu ki, meyve suyu krikoyla ilgili endişelenmekten kaçınmak için yapabileceğiniz oldukça temel bazı şeyler var.
6 Nisan 2023’te FBI’ın Denver ofisi, meyve suyu hırsızlığı konusunda bir uyarı yayınladı. bir tweet.
FBI’ın Denver ofisi, “Havaalanlarında, otellerde veya alışveriş merkezlerinde ücretsiz şarj istasyonlarını kullanmaktan kaçının” uyarısında bulundu. “Kötü aktörler, cihazlara kötü amaçlı yazılım ve izleme yazılımı yerleştirmek için halka açık USB bağlantı noktalarını kullanmanın yollarını buldu. Kendi şarj cihazınızı ve USB kablonuzu taşıyın ve bunun yerine bir elektrik prizi kullanın.”
Beş gün sonra, Federal İletişim Komisyonu (FCC) benzer bir uyarı yayınladı. FCC, “Kamuya açık şarj istasyonlarını kullanmadan önce iki kez düşünün” diyor tweet attı. “Bilgisayar korsanları, cihazlarınıza kötü amaçlı yazılım ve izleme yazılımı yükleyerek kişisel bilgilerinize erişmeyi bekliyor olabilir. Bu dolandırıcılığa meyve suyu hırsızlığı denir.”
FCC tweet’i ayrıca, ilk olarak 2019’daki Şükran Günü Tatili’nden önce yayınlanan, ancak 2021’de ve FBI’ın tweet’inin haber medyası tarafından alınmasından kısa bir süre sonra tekrar güncellenen, ajansın meyve suyu hırsızlığı hakkındaki farkındalık sayfasına bir bağlantı sağladı. Uyarılar basında o kadar geniş ve soluksuz bir şekilde yer aldı ki, bu hafta James Corden ile Late Late Show’da meyve suyu krikodan söz edildi.
Meyve suyu hırsızlığı terimi, 2011 yazında, buradaki araştırmacılar hakkında bir haberin başlığı sayesinde, gadget meraklılarının toplu paranoyasına girdi. DEFCON Pek çok mobil cihazın bir bilgisayara bağlanacak ve varsayılan olarak verileri hemen senkronize edecek şekilde ayarlandığı gerçeğini umursamayanları eğitmek için tasarlanmış bir mobil şarj istasyonu kuran Vegas’taki hacker kongresi.
O zamandan beri, Apple, Google ve diğer mobil cihaz üreticileri, donanım ve yazılımlarının çalışma şeklini değiştirdiler; böylece cihazları, bir USB şarj kablosuyla bir bilgisayara takıldığında artık verileri otomatik olarak senkronize etmeyecek. Bunun yerine, kullanıcılara herhangi bir veri aktarımı gerçekleşmeden önce bağlı bir bilgisayara güvenmek isteyip istemediklerini soran bir bilgi istemi sunulur.
Öte yandan, sinsi bir meyve suyu kriko saldırısı gerçekleştirmek için gereken teknoloji çok daha küçültülmüş, erişilebilir ve ucuz hale geldi. Ve artık herkesin satın alabileceği, meyve suyu kriko saldırılarını etkinleştirmek için özel olarak üretilmiş birkaç ürün var.
Muhtemelen en iyi bilinen örnek, aşağı yukarı bir Apple veya genel USB şarj kablosu gibi görünen, profesyonel penetrasyon test cihazları için yapılmış 180 dolarlık bir bilgisayar korsanlığı cihazı olan OMG kablosudur. Ancak OMG kablosunun içinde küçük bir bellek yongası ve saldırganın bir akıllı telefon uygulaması kullanarak uzaktan bağlanıp cihazda komutlar çalıştırabileceği bir Wi-Fi ortak erişim noktası oluşturan bir Wi-Fi vericisi bulunur.
180 dolarlık “OMG kablosu”. Resim: hak5.org.
Brian Markus Aries Security’nin kurucu ortağı ve ilk olarak 2011 DEFCON’da meyve suyu hırsızlığından kaynaklanan tehdidi sergileyen araştırmacılardan biri. Markus, vahşi ortamda meyve suyu kriko büfelerinin bulunduğuna dair herhangi bir kamuya açık hesaptan haberdar olmadığını ve son FBI alarmına neyin yol açtığından emin olmadığını söyledi.
Ancak Markus, meyve suyu hırsızlığının hala bir risk olduğunu, çünkü bu günlerde olası saldırganların gerekli ekipmanı bulup inşa etmesinin çok daha kolay ve ucuz olduğunu söyledi.
Markus, “O zamandan beri, teknoloji ve bileşenler çok daha küçük hale geldi ve inşa edilmesi çok kolay hale geldi, bu da bunu daha az gelişmiş tehdit aktörlerinin ellerine bırakıyor” dedi. “Ayrıca, artık tüm bunları tezgahtan satın alabilirsiniz. Bence risk şu anda muhtemelen on yıl öncesine göre daha yüksek, çünkü artık çok daha büyük bir insan nüfusu bunu kolayca kaldırabiliyor.”
Son FBI uyarısını ne kadar ciddiye almalıyız? Mitleri yıkan site tarafından yapılan bir soruşturma Snope’lar FBI tweet’inin, tarihli bir danışma belgesine dayanan bir kamu hizmeti duyurusu olduğunu öne sürüyor. Snopes, 2023’te meyve suyu hırsızlığı tehdidinin ne kadar yaygın olduğuna dair veri talep etmek için hem FBI’a hem de FCC’ye ulaştı.
Snopes, “FBI, tweet’inin FCC uyarısından kaynaklanan ‘standart PSA tipi bir gönderi’ olduğunu yanıtladı” dedi. “Bir FCC sözcüsü Snopes’a, komisyonun ilk olarak 2019’da yayınlanan ve daha sonra 2021’de güncellenen “meyve suyu hırsızlığı” konusundaki tavsiyelerinin ‘tüketicilerin en fazla bilgiye sahip olmasını’ sağlamak için güncel olduğundan emin olmak istediğini söyledi. -güncel bilgiler.’ İsminin açıklanmasını istemeyen yetkili, tüketicilerin meyve suyu hırsızlığına ilişkin şikayetlerinde herhangi bir artış görmediklerini ekledi.”
Meyve suyu krikosunu önlemek için ne yapabilirsiniz? Kendi teçhizatını getir. Güvenlikle ilgili genel bir kural, bir saldırganın cihazınıza fiziksel erişimi varsa, o cihazın güvenliğine veya bütünlüğüne artık güvenemeyeceğinizdir. Bu, cihazlarınıza takılan şeyler için de geçerlidir.
Bir cihaz güvenilir bir AC adaptörü, pil yedekleme cihazı veya yalnızca güç kabloları olan ve veri kablosu olmayan bir USB kablosu aracılığıyla şarj edilirse meyve suyu girişi mümkün değildir. Bu şeylerden yoksunsanız ve yine de halka açık bir şarj kiosku veya rastgele bir bilgisayar kullanmanız gerekiyorsa, en azından fişe takmadan önce cihazınızı kapatın.