Juice Jacking이란 무엇이며 공공 전화 충전기를 피해야합니까?
스마트 폰에 충전이 필요합니다. 아직 다시 당신은 집에있는 충전기로부터 몇 마일 떨어져 있습니다; 공공 충전 키오스크는 꽤 유망 해 보입니다. 휴대 전화를 연결하고 달콤하고 달콤한 에너지를 얻으십시오. 가능한 잘못 될 수있는 것, 맞죠? 핸드폰 하드웨어 및 소프트웨어 디자인의 공통된 특성 덕분에 몇 가지 사항을 읽었습니다. 주스 자 닝 (jacking) 및이를 방지하는 방법에 대해 자세히 알아보십시오..
Juice Jacking이 정확히 무엇입니까??
안드로이드 장치, iPhone 또는 BlackBerry와 같은 종류의 최신 스마트 폰과 관계없이 전원 공급 장치와 데이터 스트림은 동일한 케이블을 통해 전달됩니다. 현재 표준 USB miniB 연결을 사용하든 Apple의 독점적 케이블을 사용하든 동일한 상황입니다. 휴대 전화에서 배터리를 충전하는 데 사용되는 케이블은 데이터를 전송하고 동기화하는 데 사용하는 것과 동일한 케이블입니다.
동일한 케이블의 데이터 / 전원은 악의적 인 사용자가 충전 과정에서 휴대 전화에 액세스 할 수있는 접근 방식을 제공합니다. USB 데이터 / 전원 케이블을 사용하여 불법적으로 휴대 전화의 데이터에 액세스하거나 악의적 인 코드를 장치에 삽입하는 것을 Juice Jacking이라고합니다.
이 공격은 사생활 침해만큼이나 간단 할 수 있습니다. 여기에는 유료 키오스크 내에 컴퓨터가 숨겨져있는 개인용 전화와 개인 사진 및 연락처 정보 같은 정보가 악성 장치로 전송됩니다. 침입은 악의적 인 코드를 사용자의 장치에 직접 주입하는 것과 마찬가지로 침해가 될 수 있습니다. 올해의 블랙 햇 (BlackHat) 보안 컨퍼런스에서 보안 연구자 인 빌리 라우 (Billy Lau), 장영진 (YongJin Jang), 송창규 (Chengyu Song)가 "MACTANS : Malicious Chargers를 통해 iOS 기기에 악성 코드 삽입"을 발표하고 있으며,
이 프레젠테이션에서는 악의적 인 충전기에 연결 한 후 1 분 이내에 iOS 기기가 손상 될 수 있음을 보여줍니다. 먼저 임의의 소프트웨어 설치로부터 보호하기 위해 Apple의 기존 보안 메커니즘을 살펴본 다음 USB 기능을 활용하여 이러한 방어 메커니즘을 우회 할 수있는 방법을 설명합니다. 결과 감염의 지속성을 보장하기 위해 공격자가 Apple이 자체 내장 응용 프로그램을 숨기는 것과 같은 방법으로 소프트웨어를 숨길 수있는 방법을 보여줍니다.
이 취약점의 실제 적용을 입증하기 위해 우리는 BeagleBoard를 사용하여 막탄이라고 불리는 개념 증명 악성 충전기를 만들었습니다. 이 하드웨어는 무고한 모양의 악의적 인 USB 충전기를 쉽게 만들 수 있음을 보여주기 위해 선택되었습니다. Mactans는 제한된 시간과 소규모 예산으로 지어졌지만, 우리는 또한 동기 부여가 잘되고 자금난이 많은 적들이 수행 할 수있는 것을 간략하게 고려합니다.
값싼 기성 하드웨어와 눈부신 보안 취약점을 사용하여 Apple은 이러한 종류의 문제를 특별히 방지하기 위해 수많은 보안 예방 조치가 취해졌지만 1 분 안에 현재의 iOS 장치에 액세스 할 수있었습니다..
이런 종류의 공격은 보안 레이더의 새로운 장벽은 아닙니다. 2 년 전, 2011 년 DEF CON 보안 컨퍼런스에서 Aires Security, Brian Markus, Joseph Mlodzianowski, Robert Rowley 연구원은 과즙 뽑기의 위험성을 구체적으로 보여줄 수있는 충전 키오스크를 만들었고 일반인들에게 휴대 전화가 키오스크에 연결되면 위의 이미지는 악의적 인 키오스크에 집어 넣은 후 사용자에게 표시됩니다. 데이터를 페어링하거나 공유하지 않도록 지시받은 장치조차도 Aires Security kiosk를 통해 여전히 자주 손상되었습니다..
악의적 인 키오스크에 노출되면 악의적 인 코드가 즉시 주입되지 않고도 보안 문제가 오래 지속될 수 있다는 것이 더욱 문제가됩니다. 이 주제에 관한 최근 기사에서 보안 연구원 인 Jonathan Zdziarski는 iOS 페어링 취약점이 어떻게 지속되는지를 강조하고 더 이상 키오스크와 접촉하지 않아도 악의적 인 사용자에게 내 장치 창을 제공 할 수 있습니다.
iPhone 또는 iPad에서 페어링이 작동하는 방식에 익숙하지 않은 경우, 이는 바탕 화면이 사용자의 장치와 신뢰할 수있는 관계를 설정하여 iTunes, Xcode 또는 기타 도구에서 대화 할 수 있도록하는 메커니즘입니다. 데스크톱 컴퓨터가 페어링되면 주소록, 메모, 사진, 음악 컬렉션, SMS 데이터베이스, 캐시 입력 등 장치의 개인 정보 호스트에 액세스 할 수 있으며 전화의 전체 백업을 시작할 수도 있습니다. 일단 기기가 페어링되면 Wi-Fi 동기화가 켜져 있는지 여부에 관계없이 언제든지이 모든 것을 무선으로 액세스 할 수 있습니다. 페어링은 파일 시스템의 수명 동안 지속됩니다. 즉, iPhone 또는 iPad가 다른 컴퓨터와 페어링되면 해당 페어링 관계가 공장 상태로 복원 될 때까지 지속됩니다.
iOS 기기를 사용하기 쉽도록 만든이 메커니즘은 실제로 고통스러운 상태를 만들 수 있습니다. iPhone을 충전 한 키오스크는 이론적으로 iOS 기기에 Wi-Fi 탯줄을 유지할 수 있습니다. 당신은 당신의 전화 플러그를 뽑았으며, Angry Birds 라운드 (또는 40 개)를 플레이하기 위해 근처의 공항 라운지 의자로 떨어졌습니다..
내가 얼마나 걱정해야하는지?
우리는 How-To Geek에서의 깜짝 놀랄만 한 사람입니다. 우리는 항상 당신에게 그것을 줄 것입니다 : 현재 주스 뽑기는 이론적 인 위협이며, 공항의 키오스크에서 USB 충전 포트가 실제로 비밀이 될 가능성이 있습니다 데이터 사이펀 및 멀웨어 주입 컴퓨터의 전면이 매우 낮습니다. 그러나 이것은 당신이 어깨를 으 sh하고 스마트 폰이나 타블렛을 알 수없는 장치에 연결하는 보안 위험을 즉각적으로 잊지 말아야한다는 것을 의미하지는 않습니다.
몇 년 전, 파이어 폭스 확장판 Firesheep이 시큐리티 서클의 마을 이야기 였을 때, 그것은 이론적으로는 그렇지만 여전히 단순한 브라우저 확장의 진짜 위협 이었기 때문에 사용자는 다른 사용자의 웹 서비스 사용자 세션을 도용 할 수있었습니다. 로컬 Wi-Fi 노드가 중요한 변화를 가져 왔습니다. 최종 사용자는 브라우징 세션 보안을보다 진지하게 (가정용 인터넷 연결을 통해 터널링하거나 VPN에 연결하는 것과 같은 기술을 사용하여) 시작했으며 주요 인터넷 회사는 주요 보안 변경 사항 (예 : 로그인뿐만 아니라 전체 브라우저 세션 암호화).
이러한 방식으로 사용자가 주스 제거에 대한 위협을 인식하게함으로써 사람들이 주스가 걸릴 확률이 줄어들고 회사의 보안 관행을보다 잘 관리해야한다는 압력이 가중됩니다 (예 : iOS 장치가 너무 쉽게 사용자 경험을 원활하게 해줍니다. 그러나 페어링 된 기기에 대한 100 % 신뢰와의 평생 페어링의 의미는 매우 심각합니다..
Juice Jacking을 피할 수있는 방법?
주스 훔쳐 내기가 철저한 전화 절도 나 감염된 다운로드를 통한 악의적 인 바이러스 노출과 같은 광범위한 위협이 아니지만 개인 장치에 악의적 인 액세스를 허용 할 수있는 시스템에 대한 노출을 피하기 위해 상식적인 예방 조치를 취해야합니다. 이미지 제공 : Exogear.
가장 확실한 예방 조치는 단순히 제 3 자 시스템을 사용하여 휴대 전화를 충전 할 필요가 없다는 것입니다.
기기 유지 관리 : 가장 확실한 예방 조치는 모바일 장치를 충전 상태로 유지하는 것입니다. 적극적으로 사용하지 않거나 직장에 책상에 앉아있을 때 집과 사무실에서 휴대 전화를 충전하는 습관을 들여야합니다. 여행 중이거나 집을 비울 때 빨간색 3 % 배터리 막대를 쳐다 보는 횟수가 적을수록.
개인용 충전기 운반 : 충전기는 작고 가벼워서 실제 USB 케이블보다 무게가 거의 나간 것이 아닙니다. 휴대 전화를 충전하고 데이터 포트를 제어 할 수 있도록 가방에 충전기를 넣으십시오..
백업 배터리 휴대 : 여분의 배터리 (배터리를 물리적으로 교환 할 수있는 장치의 경우) 또는 외부 예비 배터리 (이 작은 2600mAh의 배터리와 같음)를 휴대 할 때, 휴대 전화를 키오스크 또는 벽면 콘센트에 묶을 필요없이 더 오래 갈 수 있습니다.
휴대 전화가 배터리를 완벽하게 유지할 수있을뿐만 아니라 사용할 수있는 추가 소프트웨어 기술이 있습니다 (상상할 수 있듯이, 이상적이지 않으며 끊임없이 진화하는 무기 보안 경합에 따라 작동하지 않을 수도 있음). 따라서 우리는 진정으로 효과적 일 수있는 방법 중 하나를 진정으로 추천 할 수는 없지만 아무것도하지 않는 것보다 더 효과적입니다.
전화 잠금 : PIN 또는 이와 동등한 암호 코드를 입력하지 않고도 휴대 전화가 잠겨 있거나 잠겨 있거나 액세스 할 수없는 경우 휴대 전화는 연결된 기기와 페어링하지 않아야합니다. iOS 기기는 잠금 해제 될 때만 페어링됩니다. 그러나 이전에 강조했듯이 페어링이 몇 초 내에 발생하므로 전화기가 실제로 잠겨 있는지 확인하는 것이 좋습니다..
전화 전원 끄기 : 이 기술은 전화기 모델에 따라 전화기 모델에서만 작동합니다. 일부 전화기는 전원이 꺼져 있음에도 불구하고 여전히 전체 USB 회로에 전원을 공급하고 장치의 플래시 저장소에 대한 액세스를 허용하기 때문입니다.
페어링 사용 중지 (Jailbroken iOS 기기 전용) : 이전 기사에서 언급 한 Jonathan Zdziarski는 최종 사용자가 장치의 페어링 동작을 제어 할 수있게하는 jailbroken iOS 장치 용 작은 응용 프로그램을 릴리스했습니다. Cydia 스토어에서 그의 애플리케이션 인 PairLock을 찾을 수 있습니다..
효과적이긴하지만 불편한 사용 방법 중 하나는 USB 케이블을 사용하여 데이터 와이어를 제거하거나 단락시키는 것입니다. "전원 전용"케이블로 판매되는이 케이블은 데이터 전송에 필요한 두 개의 와이어가 누락되어 있으며 송전을위한 두 개의 와이어 만 남아 있습니다. 그러나 이러한 케이블을 사용할 때의 단점 중 하나는 현대 충전기가 데이터 채널을 사용하여 기기와 통신하고 적절한 최대 전송 임계 값을 설정하면 기기가 일반적으로 더 천천히 충전된다는 것입니다 (이 통신이 없으면 충전기는 최저 안전 임계 값).
.
