A mobiltelefonok védelme az USB támadások ellen (más néven Juice Jacking)

Kérdés:

goodguys_activate

2011-09-29 07:34:59 UTC

view on stackexchange narkive permalink

Több okostelefonunk van titkosított adatokkal (BES, iPhone, Android), és szeretnénk megakadályozni, hogy illetéktelen személyek USB-n keresztül töltsenek le információkat az eszközről.

A vizuális feltételezés szerint az USB fájlátviteli módot jelszó védi; de akkor is, a megvalósítás hibái és kockázatai vannak.

Vannak "ismert rossz" vagy "ismert biztonságos" okostelefonok az USB biztonság szempontjából?
Hogyan véd meg egy vállalat ezeket a kockázatokat?
Van valakinek könnyen érthető magyarázata a kockázatokról, és mit ne tegyen? (pl. használjon nyilvános mobiltelefon-töltőállomást)

Legutóbbi Advent ezen a területen - http://www.theverge.com/2013/6/3/4390808/ios-malicious-charger-hack-georgia-tech-institute-black-hat-2013

Kettő válaszokat:

AbhishekKr

2011-09-29 12:26:29 UTC

view on stackexchange narkive permalink

Az általad beszélt támadás népiesen „Juice Jacking” néven van megfogalmazva.

Van-e „ismert rossz” vagy „ismert biztonságos” okostelefon az USB biztonság szempontjából ?
- Tudomásom szerint NEM.
Hogyan véd meg egy vállalat ezektől a kockázatoktól?
1. A fenyegetésekkel kapcsolatos politikák megalkotásával (valójában a tudatosság terjesztésével), mivel sokan még nincsenek tisztában ezzel.
2. És népszerűsíti azt a gyakorlatot, hogy ne használja a nyilvános töltőállomásokat.
3. A telefonok útközben történő töltéséhez használjon normál tápkábelt, mivel biztos vagyok benne, hogy nem okostelefonos mobilokról van szó. öreg, hogy eltávolítsák nyilvános töltőhelyeiket.
Van valakinek könnyen érthető magyarázata a kockázatokról, és mit ne tegyen? (pl. használjon nyilvános mobiltelefon-töltőállomást)
1. A fenyegetés nem csak az összes adat letöltésére korlátozódik, hanem rosszindulatú programokat is írhat az eszközére, hogy hosszabb ideig áldozatot szerezzen.
2. Mit kell tennie & Az előző részben hozzá nem adott lista.

Rory Alsop

2011-10-14 23:57:23 UTC

view on stackexchange narkive permalink

Van egy további védelem, amelyet beilleszthet:

Az androidos telefonomon az alapértelmezett kapcsolattípust úgy állítottam be, hogy „csak töltés” legyen, ami megakadályozza az USB-porton keresztüli hozzáférést, Manuálisan állítom be a töltés típusát a kapcsolat elfogadására. És ezt csak a képernyőn megjelenő menükön keresztül lehet megtenni.

Úgy gondolom, hogy az iPhone is megteheti ugyanezt, de erről nincsenek biztos adatai.

Ha egy iPhone jelszóval van lezárva, az iPhoto / iTunes nem tud szinkronizálni, amíg nincs feloldva. iOS 4 és újabb.

A csak töltés (és a jelszó iOS-en) csak egy szoftver által kényszerített korlátozás.Mi van, ha van biztonsági rés az említett szoftverben?A telefonja le lesz állítva.A legjobb olyan kábelt / adaptert használni, amely leválasztja vagy rövidre zárja az USB adatcsapokat, így fizikai szünet (például légrés) keletkezik a telefon és a potenciálisan rosszindulatú töltő között.

Nem egyik fenyegetési forgatókönyvem esetében sem.Ha egy támadó már veszélyeztette a telefonját és a gépet, amelyhez csatlakozik, akkor ez a feltörés nem releváns.

A forgatókönyvem szerint a telefon még nincs veszélyben, azonban az USB kommunikációt kezelő kód sérülékeny (nulla napos).Egy veszélyeztetett gép kihasználhatja ezt a biztonsági rést, hogy megkerülje a csak töltéses módot / jelszó zárolást, és veszélyeztesse a telefont is.

ⓘ

Ezt a kérdést és választ automatikusan lefordították angol nyelvről.Az eredeti tartalom elérhető a stackexchange oldalon, amelyet köszönünk az cc by-sa 3.0 licencért, amely alatt terjesztik.

about - legalese