FBI en FCC waarschuwen voor "Juicejacking" - maar hoe nuttig is hun advies?

by Paul Ducklin

Als je het cybersecurity-jargon 'juicejacking' de afgelopen dagen nog nooit had gehoord (of als je het helemaal nooit had gehoord voordat je dit artikel opende), raak dan niet in paniek.

Je hebt geen contact meer.

Hier bij Naked Security wisten we wat het betekende, niet zozeer omdat het een duidelijk en openbaar gevaar is, maar dat wij herinnerde zich het woord van een tijdje geleden... bijna 12 jaar geleden zelfs, toen we er voor het eerst een reeks tips over schreven:

In 2011 was de term (voor zover we weten) gloednieuw, afwisselend geschreven als sap opvijzelen, sap-jacking, en, terecht, naar onze mening gewoon als sapjacking, en werd bedacht om een cyberaanvaltechniek te beschrijven die net bestond gedemonstreerd op de Black Hat 2011-conferentie in Las Vegas.

.s-knop+.s-knop { marge-links: .3125rem; } .s-knop { transitie: alle .15s lineair; lettergrootte: .875rem; lijnhoogte: 1.5; kleur: #f2f2f2; font-familie: SophosSansMedium, Helvetica Neue, Helvetica, Arial, schreefloos; lettergewicht: 400; lettertype-stijl: normaal; weergave: inline-blok; vulling: .3125rem 1.25rem; cursor: aanwijzer; tekst uitlijnen: midden; tekstdecoratie: geen; rand: 1px solide #005bc8; grens-radius: 3px; achtergrondkleur: #005bc8; tekstschaduw: geen; } .s-button:hover { tekstdecoratie: geen; kleur: #fff; randkleur: #002d62; achtergrondkleur: #002d62; } .s-knop-wit, .s-knop-wit:hover { kleur: #005bc8 !belangrijk; randkleur: #fff; achtergrondkleur: #fff; } .s-ad-sophos-mdr { font-size: 1rem; lijnhoogte: 1.5; kleur: #242629; font-familie: SophosSansRegular, Helvetica Neue, Helvetica, Arial, schreefloos; lettergewicht: 400; lettertype-stijl: normaal; positie: relatief; maximale breedte: 769px; marge: 15px automatisch; opvulling: 30px 30px 25px; overgang: box-schaduw .25s kubieke-bezier (.645, .045, .355, 1 ); tekst uitlijnen: midden; achtergrondkleur: #0d141d; achtergrondherhaling: geen herhaling; achtergrondpositie: 50%; achtergrondformaat: omslag; box-schaduw: 0 0 0 0 0 transparant; achtergrondkleur: #005bc8; achtergrondafbeelding: geen; achtergrondpositie: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; lijnhoogte: 1.125; marge-onder: 4px; kleur: #fff; } .s-ad-sophos-mdr__text { font-familie: SophosSansLight, Helvetica Neue, Helvetica, Arial, schreefloos; lettergewicht: 400; lettertype-stijl: normaal; lettergrootte: 17px; kleur: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { kleur: #fff; } .s-ad-sophos-mdr__link-wrapper { tekstdecoratie: geen; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba (0, 0, 0, .15); } .s-ad-sophos-mdr__sophos-logo { positie: absoluut; boven: 15px; rechts: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; breedte: 64px; hoogte: 11px; verticaal uitlijnen: boven; achtergrondherhaling: geen herhaling; achtergrondgrootte: 64px 11px; } .s-ad-sophos-mdr__title { font-familie: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, schreefloos; lettergewicht: 400; lettertype-stijl: normaal; lettergrootte: 28px; lettergewicht: 700; lijnhoogte: 1; marge-onder: 10px; tekst uitlijnen: links; } .s-ad-sophos-mdr__title svg { max-breedte: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; lijnhoogte: 1.25; tekst uitlijnen: links; } .s-ad-sophos-mdr__action { text-align: rechts; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-breedte:769px) { .s-ad-sophos-mdr__text { marge-rechts: 140px; } .s-ad-sophos-mdr__action { positie: absoluut; rechts: 30px; onderkant: 30px; } } @media (max-breedte:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Juicejacking uitgelegd

Het idee is simpel: mensen onderweg, vooral op luchthavens, waar hun eigen telefoonoplader ofwel diep in hun handbagage is weggestopt en te lastig om eruit te halen, ofwel in het vrachtruim van een vliegtuig is gepropt waar het niet kan. toegankelijk zijn, worden vaak getroffen door laadangst.

Angst voor het opladen van telefoons, dat voor het eerst een ding werd in de jaren 1990 en 2000, is tegenwoordig het equivalent van angst voor elektrische auto's, waarbij je het niet kunt laten om er nu net wat meer sap in te persen, zelfs als je er maar een paar hebt. minuten over, voor het geval je later op je reis een addertje onder het gras tegenkomt.

Maar telefoons worden opgeladen via USB-kabels, die speciaal zijn ontworpen om zowel stroom als data te kunnen vervoeren.

Dus als u uw telefoon aansluit op een USB-stopcontact dat door iemand anders is geleverd, hoe kunt u er dan zeker van zijn dat het alleen oplaadvermogen levert en niet tegelijkertijd stiekem probeert een gegevensverbinding met uw apparaat tot stand te brengen?

Wat als er aan de andere kant een computer is die niet alleen 5 volt gelijkstroom levert, maar ook stiekem achter je rug om met je telefoon probeert te communiceren?

Het simpele antwoord is dat je het niet zeker weet, vooral als het 2011 is, en je op de Black Hat-conferentie een lezing bijwoont met de titel Mactans: Malware injecteren in iOS-apparaten via kwaadaardige opladers.

Het woord Mactans was bedoeld als een BWAIN, of Bug met een indrukwekkende naam (het is afgeleid van latrodectus mactans, de kleine maar giftige zwarte weduwespin), maar "juicejacking" was de bijnaam die bleef hangen.

Interessant genoeg reageerde Apple op de juicejacking-demo met een simpele maar effectieve verandering in iOS, wat vrij dicht in de buurt komt van hoe iOS vandaag reageert wanneer het via USB is aangesloten op een nog onbekend apparaat:

"Trust-or-not"-pop-up geïntroduceerd in iOS 7, na een openbare demo van juicejacking.

Ook Android staat niet toe dat eerder ongeziene computers bestanden uitwisselen met je telefoon totdat je je eigen goedkeuring hebt getikt op je eigen telefoon, nadat je deze hebt ontgrendeld.

Is juicejacking nog steeds een ding?

In theorie kun je dus niet meer zo gemakkelijk in de maling worden genomen, omdat zowel Apple als Google standaardinstellingen hebben ingevoerd die het verrassingselement uit de vergelijking halen.

Je zou kunnen worden misleid, of gesukkeld, of overgehaald, of wat dan ook, om ermee in te stemmen een apparaat te vertrouwen waarvan je later wenste dat je het niet had gedaan ...

... maar in theorie kan het verzamelen van gegevens niet achter uw rug gebeuren zonder dat u eerst een zichtbaar verzoek ziet en er vervolgens zelf op reageert door op een knop te tikken of een menu-optie te kiezen om het in te schakelen.

We waren dan ook een beetje verrast om zowel de Amerikaanse FCC (de Federal Communications Commission) en de FBI (het Federal Bureau of Investigation) die mensen de afgelopen dagen publiekelijk waarschuwde voor de risico's van juicejacking.

In het woorden van de FCC:

Als uw batterij bijna leeg is, moet u er rekening mee houden dat het opladen van uw elektronische apparaat bij gratis USB-oplaadstations, zoals die in luchthavens en hotellobby's, ongelukkige gevolgen kan hebben. Je zou het slachtoffer kunnen worden van 'juice jacking', nog zo'n cyberdiefstaltactiek.

Cyberbeveiligingsexperts waarschuwen dat kwaadwillenden malware kunnen laden op openbare USB-laadstations om kwaadwillende toegang te krijgen tot elektronische apparaten terwijl ze worden opgeladen. Malware die via een beschadigde USB-poort wordt geïnstalleerd, kan een apparaat vergrendelen of persoonlijke gegevens en wachtwoorden rechtstreeks naar de dader exporteren. Criminelen kunnen die informatie vervolgens gebruiken om toegang te krijgen tot online accounts of deze te verkopen aan andere kwaadwillenden.

En Dat meldt de FBI in Denver, Colorado:

Slechte actoren hebben manieren bedacht om openbare USB-poorten te gebruiken om malware en bewakingssoftware op apparaten te introduceren.

Hoe veilig is de stroomvoorziening?

Vergis je niet, we raden je aan om waar mogelijk je eigen oplader te gebruiken en niet te vertrouwen op onbekende USB-connectoren of -kabels, niet in de laatste plaats omdat je geen idee hebt hoe veilig of betrouwbaar de spanningsomvormer in het laadcircuit zou kunnen zijn.

U weet niet of u een goed gereguleerde 5V DC krijgt of een spanningspiek die uw apparaat beschadigt.

Een destructieve spanning kan per ongeluk aankomen, bijvoorbeeld door een goedkoop en vrolijk, niet-veiligheidsconform laadcircuit dat een paar cent op fabricagekosten heeft bespaard door illegaal na te laten de juiste normen volgen om de netspanningsdelen en de laagspanningsdelen van het circuit uit elkaar te houden.

Of er kan met opzet een malafide spanningspiek optreden: lezers van Naked Security op de lange termijn zullen zich een apparaat herinneren dat eruitzag als een USB-opslagstick, maar de USB Killer, waarover we in 2017 schreven:

Door de bescheiden USB-spanning en -stroom te gebruiken om een reeks condensatoren in het apparaat op te laden, bereikte het al snel het punt waarop het een 240V-piek weer in uw laptop of telefoon kon vrijgeven, waardoor het waarschijnlijk zou braden (en u misschien een akelige schok zou bezorgen). als u het op dat moment vasthield of aanraakte).

Hoe veilig zijn uw gegevens?

Maar hoe zit het met de risico's dat uw gegevens stiekem worden opgeslurpt door een oplader die ook als hostcomputer fungeert en zonder toestemming probeert de controle over uw apparaat over te nemen?

Houden de beveiligingsverbeteringen die in de nasleep van de Mactans juicejacking-tool in 2011 zijn geïntroduceerd, nog steeds stand?

We denken van wel, gebaseerd op het aansluiten van een iPhone (iOS 16) en een Google Pixel (Android 13) op een Mac (macOS 13 Ventura) en een Windows 11-laptop (2022H2 build).

Ten eerste zou geen van beide telefoons automatisch verbinding maken met macOS of Windows wanneer ze voor de eerste keer werden aangesloten, of ze nu vergrendeld of ontgrendeld waren.

Bij het aansluiten van de iPhone op Windows 11, werd ons gevraagd om de verbinding elke keer goed te keuren voordat we inhoud via de laptop konden bekijken, waarvoor de telefoon moest worden ontgrendeld om bij de goedkeuringspop-up te komen:

Pop-up wanneer we de iPhone op een Windows 11-laptop hebben aangesloten.

Om de iPhone voor de eerste keer op onze Mac aan te sluiten, moesten we ermee instemmen de computer aan de andere kant te vertrouwen, wat natuurlijk het ontgrendelen van de telefoon vereiste (hoewel we eenmaal hadden afgesproken om de Mac te vertrouwen, zou de telefoon onmiddellijk verschijnen in de Mac's Finder-app bij toekomstige verbinding, zelfs als deze op dat moment vergrendeld was):

Moderne "vertrouwen" pop-up toen onze Mac onze iPhone voor het eerst ontmoette.

Onze Google-telefoon moest worden verteld om de USB-verbinding te verbreken Geen gegevens modus elke keer dat we hem inplugden, wat betekende dat we de Instellingen app, waarvoor het apparaat eerst moest worden ontgrendeld:

Google Android-telefoon na verbinding met Windows 11 of macOS 13.

De hostcomputers konden zien dat de telefoons waren verbonden wanneer ze waren aangesloten, waardoor ze toegang kregen tot de naam van het apparaat en verschillende hardware-ID's. telefoon zelf was blijkbaar verboden terrein.

Onze Google-telefoon gedroeg zich op dezelfde manier toen hij voor de tweede, derde of volgende keer werd aangesloten, en identificeerde dat er een apparaat was verbonden, maar zette het automatisch in Geen gegevens modus zoals hierboven weergegeven, waardoor uw bestanden standaard onzichtbaar zijn voor zowel macOS als Windows.

Computers op uw iPhone niet vertrouwen

Trouwens, een vervelende fout van iOS (we beschouwen het als een bug, maar dat is eerder een mening dan een feit) is dat er geen menu is in de iOS Instellingen app waar u een lijst kunt bekijken met computers die u eerder hebt vertrouwd, en het vertrouwen voor afzonderlijke apparaten kunt intrekken.

Er wordt van u verwacht dat u onthoudt welke computers u hebt vertrouwd, en u kunt dat vertrouwen alleen op een alles-of-niets-manier intrekken.

Om een individuele computer niet meer te vertrouwen, moet u ze allemaal niet meer vertrouwen, via de op geen enkele manier voor de hand liggende en diep geneste Instellingen > Algemeen > iPhone overzetten of resetten > Reset locatie & privacy scherm, onder een misleidende kop die suggereert dat deze opties alleen nuttig zijn als u een nieuwe iPhone koopt:

Moeilijk te vinden iOS-optie voor niet-werkende computers waarmee u eerder verbinding hebt gemaakt.

Wat te doen?

Vermijd indien mogelijk onbekende oplaadconnectoren of -kabels. Zelfs een laadstation dat te goeder trouw is opgezet, heeft misschien niet de elektrische kwaliteit en spanningsregeling die u zou willen. Vermijd ook goedkope netladers, als je kunt. Neem een merk mee dat u vertrouwt, of laad op vanaf uw eigen laptop.
Vergrendel of schakel uw telefoon uit voordat u deze aansluit op een oplader of computer. Dit minimaliseert het risico van het per ongeluk openen van bestanden naar een malafide laadstation en zorgt ervoor dat het apparaat wordt vergrendeld als het wordt gepakt en gestolen bij een laadstation voor meerdere gebruikers.
Overweeg om alle apparaten op uw iPhone niet meer te vertrouwen voordat u een onbekende computer of oplader riskeert. Dit zorgt ervoor dat er geen vergeten vertrouwde apparaten zijn die u tijdens een vorige reis per ongeluk hebt ingesteld.
Overweeg om een USB-kabel of adapteraansluiting voor alleen voeding aan te schaffen. "Dataloze" USB-A-stekkers zijn gemakkelijk te herkennen omdat ze slechts twee metalen elektrische connectoren in hun behuizing hebben, aan de buitenranden van de socket, in plaats van vier connectoren over de hele breedte. Merk op dat de binnenste connectoren niet altijd meteen duidelijk zijn omdat ze niet helemaal tot aan de rand van het stopcontact komen - daarom maken de voedingsconnectoren eerst contact.

Power-only fietslamp USB-A connector met alleen externe metalen connectoren.
De roze rechthoeken geven ongeveer aan waar de dataconnectoren zouden komen.

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
De toekomst slaan met Adryenn Ashley. Toegang hier.
Bron: https://nakedsecurity.sophos.com/2023/04/17/fbi-and-fcc-warn-about-juicejacking-but-just-how-useful-is-their-advice/

Generatieve data-intelligentie

FBI en FCC waarschuwen voor "Juicejacking" - maar hoe nuttig is hun advies?

Juicejacking uitgelegd

Is juicejacking nog steeds een ding?

Hoe veilig is de stroomvoorziening?

Hoe veilig zijn uw gegevens?

Computers op uw iPhone niet vertrouwen

Wat te doen?

Nieuwe mondiale munt ontworpen om de Amerikaanse dollar af te schaffen en sancties te voorkomen nu BRICS-leiders zich voorbereiden op een ontmoeting: rapport – The Daily Hodl

8 essentiële handelsstrategieën voor investeerders in cryptocurrency – CryptoInfoNet

Laatste intelligentie

Solana klaar om zichzelf te vestigen als ‘derde grote crypto-activa’ na Bitcoin en Ethereum: Franklin Templeton – The Daily Hodl

Solana klaar om zichzelf te vestigen als ‘derde grote crypto-activa’ na Bitcoin en Ethereum: Franklin Templeton – The Daily Hodl

NFTBank onthult geüpgradede NFTBank V2 voor beter NFT-portfolio en Web3 Game Treasury Management, meldt Chainwire – CryptoInfoNet

BDAG onthult crypto-betalingsopties, via Aave & The Graph

BlockDAG: Forbes-lek uit 2024 en het raadsel erachter – zal het toenemen? Accidentele blootstelling

itcoin: het wonderkind van de financiële wereld?