Hoje em dia, aeroportos, restaurantes fast-food e até ônibus têm estações de carregamento USB. Mas essas portas públicas são seguras? Se você usar um, seu telefone ou tablet pode ser hackeado? Nós verificamos!
Índice
Alguns especialistas deram o alarme
Alguns especialistas acham que você deve se preocupar se tiver usado uma estação de carregamento USB pública. No início deste ano, pesquisadores da equipe de teste de penetração de elite da IBM, X-Force Red, emitiram avisos terríveis sobre os riscos associados a estações de carregamento públicas.
“Conectar-se a uma porta USB pública é como encontrar uma escova de dentes na beira da estrada e decidir colocá-la na boca”, disse Caleb Barlow, vice-presidente de inteligência de ameaças da X-Force Red. “Você não tem ideia de onde essa coisa esteve.”
Barlow destaca que as portas USB não apenas transmitem energia, mas também transferem dados entre dispositivos.
Dispositivos modernos colocam você no controle. Eles não devem aceitar dados de uma porta USB sem sua permissão – é por isso que a pergunta “Confiar neste computador?” prompt existe em iPhones. No entanto, uma falha de segurança oferece uma maneira de contornar essa proteção. Isso não é verdade se você simplesmente conectar um adaptador de energia confiável a uma porta elétrica padrão. Com uma porta USB pública, porém, você conta com uma conexão que pode transportar dados.
Com um pouco de astúcia tecnológica, é possível transformar uma porta USB em uma arma e enviar malware para um telefone conectado. Isso é particularmente verdadeiro se o dispositivo executa Android ou uma versão mais antiga do iOS e, portanto, está atrasado em suas atualizações de segurança.
Tudo parece assustador, mas esses avisos são baseados em preocupações da vida real? Cavei mais fundo para descobrir.
Da Teoria à Prática
Então, os ataques baseados em USB contra dispositivos móveis são puramente teóricos? A resposta é um não inequívoco.
Os pesquisadores de segurança há muito consideram as estações de carregamento como um vetor potencial de ataque. Em 2011, o veterano jornalista da infosec, Brian Krebs, chegou a cunhar o termo “juice jacking” para descrever exploits que tiram vantagem dele. Como os dispositivos móveis avançaram em direção à adoção em massa, muitos pesquisadores se concentraram nesta faceta.
Em 2011, o Wall of Sheep, um evento marginal na conferência de segurança Defcon, implantou cabines de carregamento que, quando usadas, criavam um pop-up no dispositivo que alertava sobre os perigos de se conectar a dispositivos não confiáveis.
Dois anos depois, no evento Blackhat USA, pesquisadores da Georgia Tech demonstraram uma ferramenta que poderia se disfarçar como uma estação de carregamento e instalar malware em um dispositivo executando a versão então mais recente do iOS.
Eu poderia continuar, mas você entendeu. A questão mais pertinente é se a descoberta de “ Juice Jacking” se traduziu em ataques no mundo real. É aqui que as coisas ficam um pouco turvas.
Compreendendo o risco
Apesar de “juice jacking” ser uma área popular de foco para pesquisadores de segurança, quase não existem exemplos documentados de invasores usando a abordagem como arma. A maior parte da cobertura da mídia concentra-se em provas de conceito de pesquisadores que trabalham para instituições, como universidades e empresas de segurança da informação. Provavelmente, isso ocorre porque é inerentemente difícil transformar uma estação de carregamento pública em arma.
Para hackear uma estação de carregamento pública, o invasor teria que obter hardware específico (como um computador em miniatura para implantar malware) e instalá-lo sem ser pego. Tente fazer isso em um aeroporto internacional movimentado, onde os passageiros estão sob intenso escrutínio e a segurança confisca ferramentas, como chaves de fenda, no momento do check-in. O custo e o risco tornam o juice jacking fundamentalmente inadequado para ataques dirigidos ao público em geral.
Também existe o argumento de que esses ataques são relativamente ineficientes. Eles só podem infectar dispositivos conectados a uma tomada de carregamento. Além disso, muitas vezes contam com falhas de segurança que os fabricantes de sistemas operacionais móveis, como Apple e Google, corrigem regularmente.
Realisticamente, se um hacker interfere em uma estação de carregamento pública, provavelmente é parte de um ataque direcionado contra um indivíduo de alto valor, não um viajante que precisa obter alguns pontos percentuais da bateria a caminho do trabalho.
Segurança primeiro
Não é a intenção deste artigo minimizar os riscos de segurança representados por dispositivos móveis. Às vezes, os smartphones são usados para espalhar malware. Também houve casos de telefones infectados enquanto conectados a um computador que contém software malicioso.
Em um artigo da Reuters de 2016, Mikko Hypponen, que é efetivamente o rosto público da F-Secure, descreveu uma cepa particularmente perniciosa de malware Android que impactou um fabricante europeu de aeronaves.
“Hypponen disse que conversou recentemente com um fabricante europeu de aeronaves que afirma que limpa as cabines de seus aviões todas as semanas de malware desenvolvido para telefones Android. O malware se espalhou para os aviões apenas porque os funcionários da fábrica carregavam seus telefones com a porta USB do cockpit ”, afirma o artigo.
“Como o avião opera um sistema operacional diferente, nada aconteceria com ele. Mas isso passaria o vírus para outros dispositivos conectados ao carregador. ”
Você compra um seguro residencial não porque espera que sua casa pegue um incêndio, mas porque tem de se planejar para o pior cenário possível. Da mesma forma, você deve tomar precauções sensatas ao usar estações de carregamento de computador . Sempre que possível, use uma tomada de parede padrão, em vez de uma porta USB. Caso contrário, considere carregar uma bateria portátil, em vez do seu dispositivo. Você também pode conectar uma bateria portátil e carregar o telefone durante o carregamento. Em outras palavras, sempre que possível, evite conectar seu telefone diretamente a qualquer porta USB pública.
Mesmo que haja poucos riscos documentados, é sempre melhor prevenir do que remediar. Como regra geral, evite conectar suas coisas a portas USB que você não confia.
