för Zero Day
| 14 November 2019 — 19:44 GMT (19:44 GMT)
| Ämne: Säkerhet
Resenärer rekommenderas att undvika att använda offentliga USB power laddstationer på flygplatser, hotell och andra platser, eftersom de kan innehålla farliga malware, Los Angeles-Stadsdelen Advokat sade i en säkerhetsvarning som publicerades förra veckan.
USB-anslutningar var utformad för att fungera som både data och ström överföra medier, utan strikt barriär mellan de två. Som smartphones blev mer populär under det senaste decenniet, säkerhet forskare räknat ut att de kunde missbruk USB-anslutningar som en användare kan tycka var bara överföra elkraft för att dölja och leverera hemliga uppgifter nyttolast.
Denna typ av attack som fick sina egna namn, som “juice stöttning.”
Över åren har flera bevis-av-konceptet har skapats. Den mest kända är Mactans, som presenteras på Black Hat 2013 security conference, som var en skadlig USB-väggladdare som kan distribuera skadlig kod på iOS-enheter.
Tre år senare, 2016, säkerhet forskare Samy Kamkar tog konceptet ytterligare med KeySweeper, en smygande Arduino-baserad enhet, kamouflerad som en fungerande USB-väggladdare som trådlöst och passivt nosar, dekrypterar, loggar och rapporterar tillbaka (via GSM) alla tangenttryckningar från Microsoft trådlöst tangentbord i närheten.
Följande Kamkar utsläpp av KeySweeper, FBI skickade ut en landsomfattande registrering på tid, varning organisationer mot användning av USB-laddare och frågar företagen att se över om de hade några sådana anordningar som är i bruk.
Också, i och med 2016, en annan grupp forskare utvecklat en annan proof-of-concept skadliga USB-väggladdare. Här skulle man kunna spela in och spegla skärmen på en enhet som är inkopplad till en extra kostnad. Tekniken blivit känd som “video stöttning.”
LA District Attorney ‘ s varning [PDF] omfattar många angreppsvinklar, eftersom det finns olika sätt att brottslingar kan missbruka USB-vägg laddare.
Det vanligaste sättet är via “plug” USB-vägg laddare. Dessa är portabla USB-laddning enheter som kan anslutas till ett vägguttag, och brottslingar enkelt kan lämna några av dessa bakom “av misstag” på offentliga platser, på offentliga laddstationer.
Det finns också en USB-laddare som är inneslutet direkt i power laddningsstationer installeras på offentliga platser, var att användaren bara har tillgång till en USB-port. Men, LA tjänstemän säger att brottslingar kan hämta skadliga program till offentliga laddstationer, så användare bör undvika att använda USB-port, och hålla fast vid att använda AC-laddning port i stället.
Men LA DA varning gäller även USB-kablar som har varit kvar på offentliga platser. Mikrodatorer och elektroniska delar har blivit så liten i dessa dagar att kriminella kan gömma mini-datorer och skadliga program i en USB-kabeln i sig. Ett sådant exempel är O. MG-Kabel. Något som godartad som en USB-kabel kan dölja skadlig kod idag.
OMG! 2 månader + 8 devs + O•MG Kabel = skadlig trådlöst implantat uppdatering!
Den här uppdateringen tog till dig av det kaos workshop alver: @d3d0c3d, @pry0cc, @clevernyyyy, @JoelSernaMoreno, @evanbooth, @noncetonic, @cnlohr, @RoganDawes
Mer info: https://t.co/kkhUppsqiC#OMGCable pic.twitter.com/fIzOaKJSxL
— _MG_ (@_MG_) 12 April, 2019
Med alla dessa hänsyn, LA tjänstemän rekommenderar att resenärer:
Använda ett vägguttag, inte till en USB-laddstation.Ta AC och bil laddare för dina enheter när du reser.Överväga att köpa en bärbar laddare för nödsituationer.
Men det finns även andra åtgärder som användarna kan använda. En av dem är att-enhet ägare kan köpa USB – “nr-data-transfer” – kablar, där USB-stift ansvarig för överföring av data kanal har tagits bort, vilket innebär att endast kraftöverföring krets på plats. Sådana kablar kan hittas på Amazon och andra online-butiker.
Det finns också så kallade USB-kondomer” att agera som en mellanhand mellan en betrodd USB-laddare och en användarens enhet.
Två sådana enheter är SyncStop (tidigare känd som USB-Kondom) och Juice-Jack Försvarare. Många andra också finns, och på en punkt, även Kaspersky forskare försökt att bygga en-heter Pure.Batteriladdare — men deras Kickstarter-insamling misslyckats med att öka de medel som behövs.
Bild: ChargeDefense LLC
Säkerhet
BlueKeep utnyttja för att få en fix för sin BSOD problem
Stora ASP.NET webbhotellet smittad av ransomware
Apple Post på macOS lämnar delar av krypterad e-post i klartext
Fastställande av data läckor i Jira (ZDNet YouTube)
Bästa home security av 2019: Professionell övervakning och DIY (CNET)
Hur man styr plats spårning på din iPhone på iOS 13 (TechRepublic)
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
för Zero Day
| 14 November 2019 — 19:44 GMT (19:44 GMT)
| Ämne: Säkerhet