ホームページ » の仕方 » 「Juice Jacking」とは何ですか。公衆電話の充電器は使用しないでください。

    「Juice Jacking」とは何ですか。公衆電話の充電器は使用しないでください。

    スマートフォンは充電が必要です まだ もう一度、あなたは自宅の充電器から何マイルも離れています。その公衆充電キオスクはかなり有望に見えている - ちょうどあなたの電話を接続して、あなたが切望する甘い、甘い、エネルギーを手に入れなさい。何が悪くなる可能性がありますね。携帯電話のハードウェアとソフトウェアの設計における一般的な特性のおかげで、ジュースジャッキングとそれを避ける方法についてもっと学ぶためにかなり多くのことを読んでいます.

    まさにジュースジャッキングとは?

    現代のスマートフォンの種類にかかわらず、Androidデバイス、iPhone、またはBlackBerryなど、すべての電話で共通の機能が1つあります。それは、電源とデータストリームが同じケーブルを通過することです。現在標準的なUSB miniB接続を使用しているかアップル独自のケーブルを使用しているかにかかわらず、それは同じ状況です。あなたの電話のバッテリーを再充電するのに使用されるケーブル.

    このセットアップ、同じケーブルでのデータ/電源は、悪意のあるユーザーが充電プロセス中に携帯電話にアクセスするためのアプローチベクトルを提供します。 USBデータ/電源ケーブルを利用して不正に電話のデータにアクセスしたり、悪意のあるコードをデバイスに挿入したりすることは、Juice Jackingとして知られています。.

    この攻撃は、プライバシーの侵害と同じくらい簡単な場合があります。この場合、あなたの電話は充電キオスク内に隠されたコンピュータとペアになり、個人写真や連絡先情報などの情報が悪意のあるデバイスに転送されます。この攻撃は、悪意のあるコードをデバイスに直接注入するのと同じくらい侵襲的な可能性もあります。今年のBlackHatセキュリティカンファレンスでは、セキュリティ研究者のBilly Lau、YeongJin Jang、Chengyu Songが「MACTANS:悪意のある充電器を介したiOSデバイスへのマルウェアの注入」を発表しています。

    このプレゼンテーションでは、悪意のある充電器に差し込まれてから1分以内にiOSデバイスが危険にさらされる可能性があることを示します。最初にAppleの既存のセキュリティメカニズムを調べて任意のソフトウェアのインストールから保護し、次にUSBの機能を利用してこれらの防御メカニズムを回避する方法について説明します。結果として生じる感染の持続を確実にするために、我々はAppleがそれ自身の内蔵アプリケーションを隠すのと同じ方法で攻撃者が彼らのソフトウェアを隠すことができる方法を示す。.

    これらの脆弱性の実用的な適用を実証するために、BeagleBoardを使用して、Mactansと呼ばれる概念実証悪意のある充電器を構築しました。このハードウェアは、無邪気に見える悪意のあるUSB充電器を簡単に構築できることを実証するために選択されました。 Mactansは限られた時間と少ない予算で作られましたが、私たちはもっと動機があり、資金が充実した敵対者が何を成し遂げることができるかについて簡単に考察します。.

    安価な市販のハードウェアと明白なセキュリティの脆弱性を使用して、アップルはこの種のことを特に避けるために多くのセキュリティ対策を講じたにもかかわらず、1分もしないうちに最新世代のiOSデバイスにアクセスできました。.

    ただし、この種の悪用はセキュリティレーダーをめぐる新しい攻撃ではありません。 2年前の2011年のDEF CONセキュリティカンファレンスで、Aires Security、Brian Markus、Joseph Mlodzianowski、Robert Rowleyの研究者らは、ジュースジャッキングの危険性を具体的に説明し、自分の電話がどれほど脆弱だったのかを警告するキオスクに接続 - 上の画像は悪意のあるキオスクに接続した後にユーザーに表示されました。データをペアリングまたは共有しないように指示されていたデバイスでも、Aires Securityキオスクを介して依然として頻繁に侵害されていました。.

    さらに厄介なのは、悪意のあるキオスクにさらされると、悪意のあるコードが即座に挿入されなくても、長引くセキュリティ問題が発生する可能性があることです。この問題に関する最近の記事では、セキュリティ研究者のJonathan Zdziarskiが、iOSのペアリングの脆弱性がどのように持続し、キオスクに触れなくても悪意のあるユーザーにデバイスへのウィンドウを提供できるかを強調しています。

    iPhoneまたはiPadでペアリングがどのように機能するかについてよくわからない場合は、これがデスクトップとデバイスとの信頼関係を確立し、iTunes、Xcode、またはその他のツールと通信できるメカニズムです。デスクトップマシンをペアリングすると、アドレス帳、メモ、写真、音楽コレクション、SMSデータベース、タイピングキャッシュなど、デバイス上の多数の個人情報にアクセスしたり、電話のフルバックアップを開始したりすることもできます。デバイスがペアリングされると、WiFi同期がオンになっているかどうかにかかわらず、これらすべてにワイヤレスでいつでもアクセスできます。ペアリングはファイルシステムの寿命まで続きます。つまり、iPhoneまたはiPadが別のマシンとペアリングされると、そのペアリング関係は、電話機を出荷時の状態に復元するまで続きます。.

    このメカニズムは、iOSデバイスの使用を簡単で楽しくするためのもので、実際にはかなり痛みを伴う状態になる可能性があります。iPhoneを充電したばかりのキオスクは、理論上、Wi-FiアンビリカルコードをiOSデバイスに接続した後もアクセスを継続できます。あなたはあなたの電話を抜いて、そして怒っている鳥のラウンド(または40)をするために近くの空港ラウンジチェアに落ち込んだ.

     私はどうするべきか心配?

    我々はここHow-To Geekのただの警告者ではない、そして我々は常にあなたにまっすぐにそれを与える:現在ジュースジャッキングは大体理論上の脅威であり、そしてあなたの地元の空港のキオスクのUSB充電ポートは実際に秘密であるというチャンスデータサイフォンとマルウェアを注入するコンピュータの最前線は非常に低いです。ただし、これは肩をすくめて、スマートフォンやタブレットを未知のデバイスに接続することによる非常に現実的なセキュリティリスクを即座に忘れることを意味するわけではありません。.

    数年前、Firefoxの拡張機能Firesheepがセキュリティの分野で話題になったとき、それはまさに理論的だがそれでも非常に現実的な単純なブラウザ拡張の脅威であり、ユーザーは他のユーザーのWebサービスユーザーセッションを乗っ取ることができます。大きな変化をもたらしたローカルWi-Fiノード。エンドユーザーはブラウジングセッションのセキュリティをより真剣に受け止め(自宅のインターネット接続を介したトンネリングやVPNへの接続などの技術を使用して)、大手インターネット会社は大きなセキュリティの変更を行いました(ログインだけでなくブラウザセッション全体の暗号化など)。.

    まさにこのやり方で、ユーザーがジュースジャッキングの脅威に気付くことは、人々がジュースジャッキングされる可能性を減らすと同時に、セキュリティプラクティスをよりよく管理することを企業に求める圧力を高めることになります。ユーザーエクスペリエンスをスムーズにしますが、ペアリングされたデバイスで100%の信頼を持つライフタイムペアリングの影響は非常に深刻です。).

    ジュースジャッキングを回避する方法はありますか?

    ジュースジャッキングは、完全な電話窃盗やダウンロードされたダウンロードによる悪意のあるウイルスへの暴露ほどの脅威ではありませんが、それでも個人デバイスに悪意を持ってアクセスする可能性のあるシステムへの暴露を避けるために常識的な予防策を講じる必要があります. Exogearによる画像提供.

    最も明白な予防措置は、単にサードパーティ製のシステムを使用して携帯電話を充電する必要がないようにすることに集中しています。

    あなたの装置を締め付けないでください: 最も明白な予防策はあなたのモバイル機器を充電し続けることです。積極的に使用していないときや仕事をしている机の前に座っているときは、自宅やオフィスで電話機を充電する習慣を付けてください。あなたが旅行しているときや自宅から離れているときに赤い3%のバッテリーバーを見つめていることが少ないほど、良い.

    個人用充電器を携帯します。 充電器はとても小さくて軽量になっているので、実際に接続する実際のUSBケーブルよりも重さがほとんどありません。あなたのバッグに充電器を投げると、あなたはあなた自身の電話を充電し、データポートの制御を維持することができます.

    バックアップ電池を持ち運ぶ: フルスペアバッテリー(物理的にバッテリーを交換できるデバイス用)または外付け予備バッテリー(この2600mAhのようなもの)のどちらを携帯するかにかかわらず、携帯電話をキオスクや壁のコンセントにつなぐ必要なく長持ちすることができます。.

    お使いの携帯電話がフルバッテリーを維持することを保証することに加えて、あなたが使うことができる追加のソフトウェア技術があります(想像できるように、これらは理想より劣っています)。このように、私たちはこれらのテクニックのどれもが本当に効果的であると真に承認することはできませんが、確かに何もしないよりも効果的です.

    電話をロックする PINまたは同等のパスコードを入力しないと、電話がロックされ、本当にロックされ、アクセスできない場合、電話は接続先の機器とペアリングしないでください。 iOSデバイスはロック解除された場合にのみペアリングされます - 前に説明したように、ペアリングは数秒以内に行われるため、携帯電話が本当にロックされていることを確認してください。.

    電話の電源を切る: この手法は、一部の電話機では電源を切ったにもかかわらずUSB回路全体に電源が入り、デバイス内のフラッシュストレージへのアクセスが許可されるため、電話機モデルごとにのみ機能します。.

    ペアリングを無効にする(Jailbroken iOSデバイスのみ): この記事の冒頭で述べたJonathan Zdziarskiは、脱獄されたiOSデバイス用の小さなアプリケーションをリリースしました。これにより、エンドユーザーはデバイスのペアリング動作を制御できます。彼のアプリケーションPairLockは、Cydiaストアで、そしてここで見つけることができます。.

    あなたが使うことができる1つの最後のテクニックは効果的ですが不便ですが、データ線を取り外したかショートしたUSBケーブルを使うことです。 「電源専用」ケーブルとして販売されているため、これらのケーブルにはデータ転送に必要な2本のワイヤがなく、残りの2本のワイヤだけが残っています。ただし、このようなケーブルを使用することの欠点の1つは、最新の充電器がデータチャネルを使用してデバイスと通信し、適切な最大転送しきい値を設定するため、通常はデバイスの充電が遅くなることです。最も低い安全しきい値.


    .