Reisende frarådes å bruke offentlige USB-ladestasjoner, slik man ofte finner på flyplasser, hoteller og lignende.
Det er statsadvokaten i Los Angeles som nå slår alarm om skadelige USB-stasjoner. Saken har fått mye oppmerksomhet i medier verden rundt de siste døgnene.
Begrunnelsen for at det nå oppfordres til å ikke bruke slike ladestasjoner, er at USB-kabler kan brukes for å overføre skadevare til enheter som lades. USB-tilkoblingen muliggjør som kjent både strøm- og dataoverføring. Mens du kun oppfatter at enheten lades, kan skadevare installeres uten at du oppdager det.
«Juice jacking»
Statsadvokaten i Los Angeles skriver følgende i en sikkerhetsadvarsel:
Annonse
«Reisende bør unngå på bruke offentlige USB-ladestasjoner på flyplasser, hoteller og andre steder fordi de kan inneholde farlig skadevare. I USB-svindel plasserer kriminelle skadevare i ladestasjoner eller kabler. Disse kan infisere telefoner og andre elektroniske enheter».
Dette er en metode som gjerne kalles «juice jacking». Den vanligste fremgangsmåten hackerne benytter seg av, innebærer at portable USB-ladestasjoner utplasseres i det offentlige rom. De ser gjerne ut som ekte ladestasjoner, men i realiteten er de rett og slett en skadevare-spreder.
Anbefaler «USB-kondom»
Så hvordan kan du lade enheten din trygt? Det smarteste er å lade via et dedikert strømuttak i veggen. Et annet alternativ er å bruke en nødlader.
Et tredje alternativ er å gå til anskaffelse av en spesielltilpasset USB-kabel som ikke kan overføre data, men som kun overfører strøm. Det finnes også såkalte «USB-kondomer» som fungerer som en sikker mellommann mellom en upålitelig USB-lader og brukerens enhet.
Får kritikk
Nå skal det nevnes at statsadvokaten i Los Angeles har fått mye kritikk i etterkant av USB-advarselen. Ifølge ZDNet mener flere sikkerhetseksperter at advarselen er en overdrivelse. Årsaken er at de mener at det ikke finnes bevis for at såkalte «juice jacking»-angrep har funnet sted i den virkelige verden, til tross for at det er bevist at metoden er gjennomførbar.
Og at metoden er gjennomførbar hersker det liten tvil om – det har flere ganger blitt bevist på hackerkonferanser verden rundt. Men siden den første demonstrasjonen av et slikt angrep, som ble gitt i 2013, har både iOS og Android implementert en ny sikkerhetsmekanisme,. Når en USB-port ønsker å overføre data, må du nå manuelt godkjenne dette.
Statsadvokaten i Los Angeles sier til TechCrunch at advarselen er en del av en kampanje for å gjøre folk mer bevisst på farene med USB-kabler. Advarselen er ikke basert på ekte «juice jacking»-angrep som er oppdaget i offentligheten.
Kilde:
ZDNet
Annonse
