Samo 133 milisekunde je dovoljno!

Ovi punjači su kao "trojanski konj", a svuda su oko nas: Mogu da vam ukradu sve sa telefona

Dodajte Kurir u vaš Google izbor
Foto: Shutterstock, Ilustracija
Punjenje telefona na aerodromima, železničkim stanicama, u hotelima ili tržnim centrima mnogima je postalo svakodnevna navika. Kada se baterija isprazni, javni USB priključak deluje kao brzo i praktično rešenje.

Međutim, stručnjaci za sajber bezbednost upozoravaju da upravo takvi punjači mogu predstavljati ozbiljan bezbednosni rizik.

Nova tehnika sajber napada, poznata kao choicejacking, pokazuje da napadači više ne moraju da se oslanjaju na stare metode kako bi pristupili podacima na telefonu. Dovoljno je da uređaj povežete sa kompromitovanim USB priključkom, a napad može biti izvršen za manje od 133 milisekunde, toliko brzo da korisnik nema vremena ni da primeti šta se dogodilo.

Dok mislite da samo dopunjavate bateriju, telefon može biti naveden da sam odobri prenos podataka, bez vašeg znanja i bez ijednog dodira ekrana.

Foto: Reuters

Kako funkcioniše choicejacking?

Za razliku od ranije poznatih "juice jacking" napada, koji su se uglavnom oslanjali na pokušaje instalacije zlonamernog softvera preko USB veze, choicejacking koristi znatno sofisticiraniji pristup.

Kompromitovani USB uređaj predstavlja se telefonu kao potpuno legitimna periferija, poput računarskog miša ili tastature. Operativni sistem takvom uređaju dozvoljava da šalje komande, a napadač upravo to koristi kako bi automatski "kliknuo" na dugme za potvrdu pristupa podacima.

Sve se odvija neverovatnom brzinom. U trenutku kada se na ekranu pojavi poruka sa pitanjem da li dozvoljavate prenos podataka, lažni uređaj već šalje komandu za potvrdu. Telefon registruje odgovor kao da ga je uneo sam korisnik.

Rezultat je da korisnik ostaje uveren da je uređaj samo počeo da se puni, dok se u pozadini može uspostaviti komunikacija sa njegovim podacima.

Foto: Shutterstock

Zašto je ovaj napad opasniji od prethodnih?

Najveća razlika u odnosu na starije metode jeste činjenica da choicejacking ne pokušava da "provali" zaštitu telefona. Umesto toga, on iskorišćava način na koji operativni sistemi komuniciraju sa USB uređajima.

Drugim rečima, napadač ne razbija sigurnosni mehanizam – već ga navodi da sam sebi odobri pristup.

Zbog toga su pogođeni i Android i iPhone uređaji, iako oba sistema već godinama zahtevaju potvrdu korisnika pre nego što dozvole prenos podataka preko USB veze.

Upravo ta sposobnost da zaobiđe bezbednosne provere bez iskorišćavanja klasičnih ranjivosti čini ovu tehniku posebno zabrinjavajućom.

Otkriveno u laboratoriji - ali pretnja je stvarna

Choicejacking su prvi demonstrirali istraživači sa Tehničkog univerziteta u Gracu (TU Graz), koji su pokazali da je moguće zaobići zaštitne mehanizme i na Android i na iOS uređajima.

Iako je napad predstavljen u kontrolisanim laboratorijskim uslovima, stručnjaci upozoravaju da bi ista tehnika mogla biti iskorišćena i u stvarnom svetu ukoliko bi neko postavio kompromitovani USB punjač na javnom mestu.

To znači da mesta kroz koja svakodnevno prolaze hiljade ljudi – aerodromi, hoteli, konferencijski centri, tržni centri ili kafići – mogu predstavljati potencijalni rizik ukoliko korisnici nekritički priključuju svoje telefone na nepoznate USB portove.

Foto: Shutterstock

Kontrola je iluzija: Haker već zna vaš sledeći korak

Najveći problem, prema stručnjacima, jeste lažan osećaj sigurnosti. Korisnicima se na ekranu prikaže poznata opcija: "Dozvoli pristup podacima?" - ali haker u pozadini već donosi odluku umesto vas.

Telefon reaguje brže nego što ljudsko oko može da primeti, pa korisnik čak i ne stigne da registruje da se nešto desilo. Ta iluzija kontrole čini ovaj napad posebno opasnim jer ljudi veruju da su zaštićeni - a zapravo nisu.

Šta napadač može da dobije?

Mogućnosti zavise od samog uređaja, verzije operativnog sistema i dozvola koje su odobrene.

U pojedinim slučajevima mogu biti dostupni podaci poput fotografija, video-zapisa ili drugih fajlova kojima je omogućen pristup preko USB veze. U ozbiljnijim scenarijima napadači mogu pokušati da uspostave dalju komunikaciju sa uređajem ili iskoriste dodatne funkcije namenjene razvojnim alatima i sinhronizaciji.

Upravo zato stručnjaci naglašavaju da nijedan javni USB priključak ne treba smatrati potpuno bezbednim.

Foto: Shutterstock

Kako da se zaštitite?

Savet stručnjaka je jasan: ne priključujte svoj telefon na nepoznate USB portove - bilo da ste na aerodromu, u hotelu, kafiću ili tržnom centru. Javni punjači mogu biti kompromitovani i koristiti se za pristup vašem uređaju.

Najjednostavniji način zaštite jeste da izbegavate punjenje telefona preko nepoznatih USB portova.

Umesto toga:

- koristite sopstveni adapter koji se uključuje direktno u zidnu utičnicu;
- nosite power bank kada putujete;
- koristite USB "data blocker", adapter koji omogućava prolaz električne energije, ali fizički blokira prenos podataka;
- ako se na ekranu pojavi zahtev za pristup podacima, odbijte ga ukoliko niste sigurni da uređaj kome ste povezani pripada vama.

Stručnjaci ističu da ove jednostavne navike mogu značajno smanjiti rizik od ovakvih napada i zaštititi lične podatke čak i kada se telefon puni van kuće.

Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.