>
Kategorie: Ciekawostki Informacje prasowe Newsy

Ładujesz smartfona na lotnisku lub dworcu? To może się źle skończyć

Smartfony mogą zostać zhakowane podczas ładowania ich przy użyciu standardowego przewodu USB podłączonego do komputera – tak wynika z eksperymentu przeprowadzonego przez badaczy z Kaspersky Lab.

Gdy podłączamy telefon do publicznej stacji ładowania (np. na lotnisku, w kawiarni, galerii handlowej itp.), raczej nie zastanawiamy się, czy ma to wpływ na bezpieczeństwo naszego urządzenia i przechowywanych w nim danych? Czy myślimy o tym, jakie dane przekazuje nasz smartfon takiej stacji ładowania? Problem ten zaciekawił badaczy z Kaspersky Lab, którzy przeprowadzili eksperyment, aby znaleźć odpowiedzi na te pytania.

W ramach badania eksperci przetestowali wiele smartfonów działających pod różnymi wersjami systemu Android i iOS, aby dowiedzieć się, jakie dane urządzenie przesyła na zewnątrz, kiedy jest podłączone do komputera PC lub Mac w celu naładowania baterii. Wyniki testów pokazują, że urządzenia mobilne ujawniają komputerowi całą litanię danych podczas tzw. „uścisku dłoni” (procesu „przywitania się” pomiędzy urządzeniem a komputerem PC/Mac, do którego jest podłączone) obejmujących: nazwę urządzenia, producenta, typ, numer seryjny, informacje dotyczące oprogramowania układowego (tzw. firmware), informacje dotyczące systemu operacyjnego, systemu plików, listę plików oraz identyfikator procesora. Ilość danych wysłanych podczas uścisku dłoni różni się w zależności od urządzenia mobilnego oraz komputera, ale każdy smartfon przesyła ten sam podstawowy zestaw informacji, łącznie z nazwą urządzenia, producenta, numerem seryjnym itd.

Obecnie, gdy smartfony niemal nieustannie towarzyszą swoim właścicielom, urządzenia te pełnią rolę unikatowego identyfikatora dla każdej osoby trzeciej, która może być zainteresowana gromadzeniem i późniejszym wykorzystaniem takich danych. Nie byłoby żadnego problemu, gdyby z telefonu podłączonego do nieznanego komputera lub urządzenia ładującego osoba atakująca mogła zebrać jedynie kilka unikatowych identyfikatorów.

Już w 2014 r. podczas konferencji Black Hat przedstawiono koncepcję zakładającą, że telefon komórkowy może zostać zainfekowany szkodliwym oprogramowaniem w wyniku podłączenia go do fałszywej stacji ładowania. Teraz, po dwóch latach od ogłoszenia tej koncepcji, eksperci z Kaspersky Lab odtworzyli eksperyment bez użycia specjalistycznej wiedzy czy narzędzi. Przy użyciu jedynie zwykłego komputera PC oraz standardowego kabla USB i wyposażeni w zestaw poleceń (dostępnych w Internecie), zdołali ukradkiem zainstalować w smartfonie aplikację. Oznacza to włamanie się do smartfona bez wykorzystania do tego celu szkodliwego oprogramowania.

Incydenty, w których dokonano kradzieży danych z urządzeń mobilnych podłączonych do komputera, zostały już odnotowane w 2013 r., w ramach kampanii cyberszpiegowskiej Czerwony październik. Również ugrupowanie Hacking Team wykorzystało połączenie z komputerem w celu zainfekowania urządzeń mobilnych szkodliwym oprogramowaniem. Oba te ugrupowania cyberprzestępcze znalazły sposób, aby wykorzystać rzekomo bezpieczną wymianę danych pomiędzy smartfonem a komputerem PC, do którego był podłączony. Sprawdzając dane identyfikacyjne uzyskane z podłączonego urządzenia, atakujący zdołali zidentyfikować, jaki model urządzenia wykorzystywała ofiara, oraz przeprowadzić swój atak przy użyciu określonego szkodliwego kodu. Nie byłoby to tak łatwe do wykonania, gdyby smartfony nie wymieniały automatycznie danych z komputerem PC po połączeniu się z portem USB.

To niezwykłe, że niemal dwa lata od czasu opublikowania wyników badania pokazującego, w jaki sposób można zainfekować telefon za pośrednictwem połączenia USB, koncepcja ta nadal jest skuteczna. Zagrożenia bezpieczeństwa są w tym przypadku oczywiste: jeśli jesteś regularnym użytkownikiem, można Cię wyśledzić za pośrednictwem identyfikatora Twojego urządzenia; na Twoim telefonie można ukradkiem zainstalować różne szkodliwe programy, od aplikacji reklamowych po szkodniki szyfrujące dane i żądające okupu; a jeśli jesteś osobą decyzyjną w dużej firmie, możesz łatwo stać się celem profesjonalnych cyberprzestępców. Nie trzeba nawet posiadać dużych umiejętności, aby przeprowadzić takie ataki – wszystkie potrzebne informacje można łatwo znaleźć w internecie.

– Aleksiej Komarow, badacz ds. bezpieczeństwa IT, Kaspersky Lab.

Marcepan

Najnowsze artykuły

  • Newsy
  • Samsung
  • Telefony

Galaxy S27 Ultra straci „najważniejszą” funkcję. Jako użytkownikowi Samsunga autentycznie mi jej nie żal

Samsung Galaxy S27 Ultra bez S Pen staje się możliwością. Nowy przeciek sugeruje, że Samsung…

3 kwietnia 2025
  • Promocje

Świetna bijatyka objęta rabatem w wysokości 206 zł! Tak tanio to dawno nie było

Świetna bijatyka – Mortal Kombat 11 jest teraz do kupienia taniej o 206 zł. Jeśli…

3 kwietnia 2025
  • Artykuły
  • Samsung
  • Telefony
  • Wiadomość dnia

Tłumy Polaków kupią tego taniego Samsunga z 6 latami aktualizacji. Sam znam lepsze telefony w tej cenie

W polskich sklepach pojawił się Samsung Galaxy A26 5G: względnie niedrogi telefon z lubianego przez…

3 kwietnia 2025
  • Newsy
  • POCO
  • Telefony

Jestem głęboko przekonany, że przy takiej specyfikacji to ten Xiaomi zostanie moim nowym smartfonem po premierze

Specyfikacja POCO F7 po premierze nowego procesora wydaje mi się spełnieniem marzeń dla fana tanich…

3 kwietnia 2025
  • Newsy
  • Telefony

Dawno nie wierzyłem tak bardzo w nowe telefony, jak po tej premierze. Szykujcie się na doskonałe baterie

Snapdragon 8s Gen 4 to nowy SoC dla zabójców flagowców. Tym razem zyski w wydajności…

3 kwietnia 2025
  • Gry i aplikacje
  • Newsy
  • Wiadomość dnia

Niemiec będzie kupował Nintendo Switch 2 za 469 euro, a Ty Polaku płać kilkaset złotych więcej

Wygląda na to, że pod kątem wyceny produktów, znowu jesteśmy traktowani gorzej od reszty Europy.…

3 kwietnia 2025