for Nul-Dag
| November 14, 2019 — 19:44 GMT (19:44 GMT)
| Emne: Sikkerhed
Rejsende rådes til at undgå at bruge offentlige USB power ladestationer i lufthavne, hoteller og andre steder, fordi de kan indeholde farlige malware, Los Angeles District Attorney, sagde i en sikkerhedsadvarsel, der blev offentliggjort i sidste uge.
USB-forbindelser, der var designet til at arbejde som både data og strøm overføres medier, med ingen strenge barriere mellem de to. Som smartphones blev mere populær i det seneste årti, sikkerhed forskere fundet ud af, at de kunne misbrug USB-forbindelser, som en bruger kunne tænke, var kun at overføre elektrisk kraft til at skjule og levere hemmelige data nyttelast.
Denne type angreb, der fik sit eget navn, som “juice jacking.”
I hele år, flere beviser-af-begrebet blev skabt. Den mest berygtede er Mactans, som blev præsenteret på den Sorte Hat security 2013-konferencen, som blev en ondsindet USB-oplader, der kan installere malware på iOS-enheder.
Tre år senere, i 2016, sikkerhedsekspert Samy Kamkar tog konceptet yderligere med KeySweeper, en snigende Arduino-baseret enhed, kamufleret som et fungerende USB-oplader, der trådløst og passivt snuser, dekrypterer, logs, og rapporterer tilbage (via GSM) alle tastetryk fra Microsoft wireless keyboard i nærheden.
Følgende Kamkar ‘ s udgivelse af KeySweeper, FBI har sendt et landsdækkende advare på det tidspunkt, advarsel organisationer mod brug af USB-opladere, og beder virksomheder til revision, hvis de havde sådanne enheder er i brug.
Også i 2016, et andet hold forskere har udviklet en anden proof-of-concept skadelig USB-oplader. Dette kunne man optage og spejle skærmen på en enhed, der var sat i for et gebyr. Den teknik, der er blevet kendt som “video-klip.”
LA District Attorney ‘ s advarsel [PDF] dækker mange angrebsvinkler, fordi der er forskellige måder at kriminelle kan misbruge USB væg oplader.
Den mest almindelige måde er via “pluggable” USB væg oplader. Disse er bærbare USB-opladning enheder, der kan tilsluttes en AC-stik, og kriminelle kan nemt lade nogle af disse bag “ved et uheld” på offentlige steder, på offentlige ladestationer.
Der er også USB-opladere, der er indkapslet direkte inde magt ladestationer, der er installeret i offentlige steder, var det kun brugeren har adgang til en USB-port. Men, LA embedsmænd siger, at kriminelle kan lægge malware på offentlige ladestationer, så brugere bør undgå at bruge USB-port, og holde sig til brug af AC-opladning port i stedet.
Men LA DA ‘ s varsling gælder også for USB-kabler, der er blevet efterladt på offentlige steder. Microcontrollere og elektroniske dele er blevet så lille i disse dage, at kriminelle kan skjule mini-computere og malware inde i en USB-kabel-selv. Et eksempel er O. MG Kabel. Noget så velgørende som et USB-kabel kan skjule malware i dag.
OMG! 2 måneder + 8 devs + O•MG Kabel = ondsindede trådløse implantat opdatering!
Denne opdatering bragt til dig af kaos workshop elvere: @d3d0c3d, @pry0cc, @clevernyyyy, @JoelSernaMoreno, @evanbooth, @noncetonic, @cnlohr, @RoganDawes
Mere info: https://t.co/kkhUppsqiC#OMGCable pic.twitter.com/fIzOaKJSxL
— _MG_ (@_MG_) April 12, 2019
At tage alle disse hensyn, LA embedsmænd anbefaler, at rejsende:
Brug en stikkontakt, ikke en USB-opladning station.Tag AC-og bil opladere til dine enheder, når du rejser.Overveje at købe en bærbar oplader til nødsituationer.
Men der er også andre modforanstaltninger, som brugere kan installere. En af dem er, at enheden ejere kan købe USB “nej-data transfer” – kabler, hvor USB-pins, der er ansvarlig for overførsel af data channel er blevet fjernet, så kun den magt at overføre kredsløb på plads. Disse kabler kan findes på Amazon og andre online-butikker.
Der er også de såkaldte “USB-kondomer”, der fungerer som mellemled mellem en upålidelig USB oplader og en brugers enhed.
To sådanne enheder er SyncStop (tidligere kendt som USB-Kondom) og Juice-Jack Defender. Mange andre, der også findes, og på et tidspunkt, selv Kaspersky forskere forsøgt at bygge en — kaldet Pure.Oplader — men deres Kickstarter-indsamlingen undlod at rejse de nødvendige midler.
Billede: ChargeDefense LLC
Sikkerhed
BlueKeep udnytte til at få et fix for sin BSOD problem
Store ASP.NET hosting udbyder inficeret med ransomware
Apple Mail på macOS blade dele af krypterede e-mails i almindelig tekst
Fastsættelse af data lækager i Jira (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
Hvordan til at styre sporing af placering på din iPhone i iOS 13 (TechRepublic)
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
for Nul-Dag
| November 14, 2019 — 19:44 GMT (19:44 GMT)
| Emne: Sikkerhed