更糟糕的是,您的手机没电了或者有人窃取了您的所有数据?
多年来,人们一直告诉你,由于所谓的“果汁劫持”,这是你可能面临的选择。Juice jacking 是指有人篡改充电站或 USB 端口,使其在您给电池充满电时从您的手机中窃取数据或安装恶意软件。从四月开始一直持续到整个夏天,从联邦调查局到伊利诺伊州亨特利警察局的每个人都在警告公众有关果汁劫持的行为。这似乎是一个新的、活跃的威胁。
只有一个问题:事实并非如此。手机充电毁掉你生活的可能性并非为零,但可能性非常小。除了概念验证演示之外,还没有发生任何已知的榨汁事件。我们现在收到的这波警告不是来自实际的攻击,而是来自之前的警告。果汁劫持是一种不会消亡的网络安全毒蛇。
网络安全专家布莱恩·克雷布斯 (Brian Krebs)创造了该术语, “考虑到还有许多其他严重且活跃的安全威胁可供人们合理担心,在我看来,普通用户根本不应该担心这一点。”果汁劫持。
2011 年,黑客和网络安全会议 DEF CON 上的演示表明,果汁劫持是可能的,世界首次被引入果汁劫持。Aries Security 联合创始人 Brian Markus 和另一位名叫 Robert Rowley 的研究人员发现 USB 充电是一个潜在的漏洞,并建造了一个充电站来证明这一点。他们把信息亭放在地板上,等着看谁会被它免费、方便的电池充电的承诺所吸引。超过 360 人,其中许多人是经验丰富的黑客和网络安全专业人士,毫不犹豫地接通了即将耗尽的手机电源。当他们这样做时,他们在信息亭的屏幕上看到了一条通知,警告他们不要相信随机的公共充电站。
马库斯在接受采访时表示:“如果我能做到这一点,并且我能欺骗世界各地成百上千的顶级专业人士使用它,那么我认为该街区的普通公民都会上当。” 。
由于通用串行总线(USB)技术的设计目的,果汁劫持成为可能。一个端口有多种用途:您可以为设备充电或供电,或者与设备传输数据。如果您还记得每个外围设备都需要自己的专有电源线和端口的日子,您就会知道这让事情变得多么方便。但这也引入了一种新的攻击媒介,正如马库斯所指出的:当您只想获得电力时,可以交换数据。而且,早在 2011 年,手机一旦连接起来就会自动打开这两个功能。
此后,大多数手机制造商都添加了一条提示,询问用户是否允许交换数据。这就是当您将手机插入计算机时收到的“信任此设备”消息的用途。(如果您将手机插入只是电源的设备,则不应收到该消息。)如果您点击不信任该设备,则在手机充电时它无法交换数据。顺便说一句,这正是这些东西应该如何工作的:有人指出技术中的漏洞,其制造商或开发人员找到了修复它的方法。
自 DEF CON 演示之后的几年里,果汁劫持警告偶尔会冒出来,其措辞方式通常让人觉得这些邪恶的充电器不仅仅是理论上的威胁,而是现在已经在野外存在的威胁,其踪迹其后,手机被黑客入侵。以下是2013 年的几份 报告 ,当时 USB“避孕套”(阻止数据通过 USB 线传输的小加密狗)开始销售。以下是2016 年的一些警告。2019 年的另一批警告。这是2020年的一波浪潮。这些恐慌通常伴随着大量媒体报道,但很少(只有少数) 值得注意的 例外)指出,目前还没有关于世界上发现这些被篡改充电站的已知报告,也没有任何人的数据被盗或通过它们将恶意软件植入其设备的报告。然而,警告仍然存在。
:format(webp):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/24882168/GettyImages_1463529712.jpg)
最新的果汁劫持恐慌周期始于 4 月 6 日FBI 丹佛办公室账户的一条推文。“避免使用机场、酒店或购物中心的免费充电站,”它说。“不良行为者已经找到了使用公共 USB 端口将恶意软件和监控软件引入设备的方法。”
随后,许多州、地方和媒体都发出了自己的警告。当联邦调查局(或只是其一个外地办事处)表示某件事是威胁时,人们往往会认真对待。他们中的一些人甚至将其描述为“新”事物,尽管它在 12 年前首次被发现。例如,密歇根州总检察长 Dana Nessel发出警告称,“黑客将在信息亭的 USB 端口内安装并隐藏窃取设备。” 总检察长办公室说,这一警告是由联邦调查局的推文引发的。
该办公室发言人丹尼·威默 (Danny Wimmer) 说:“我们在密歇根州尚未收到任何针对‘果汁劫持’的投诉,尽管受害者可能不知道他们的手机是如何被入侵的。” 这一警告引发了当地媒体的又 一轮报道。
是什么促使联邦调查局丹佛办公室发布推文?事实证明,这不是网络攻击,而是 FCC 的旧警告。
“联邦调查局丹佛的那条推文是标准的公益广告类型的帖子,没什么新鲜的。这源于FCC 的警告,”联邦调查局丹佛办事处发言人达纳·M·普拉姆霍夫 (Dana M. Plumhoff) 说。“这是对美国公众的普遍提醒,要保持安全和勤奋,尤其是在旅行时。”
如果您现在查看 FCC 的果汁劫持警告,您就不会知道这一点。该机构于四月底对其进行了更新,以反映其间接引起的更多关注。但由于更新了 2023 年时间戳和新 URL,该网页似乎是一个全新的警告。联邦通信委员会在这次迭代中谨慎地表示,它不知道有任何盗取果汁的情况,只是说这在理论上是可能的。
FCC 没有回应就引发 2019 年警告的原因发表评论的请求,但这似乎是来自洛杉矶县地方检察官办公室的警报。该办公室告诉 TechCrunch,他们没有发生任何盗取果汁的案例,该警告是消费者教育活动的一部分。该发言人确实表示,他们知道“东海岸”发生过这种情况,但在被追问时无法提供更多细节。
那么,为什么这种情况不断出现呢?嗯,这是我们大多数人都做过的事情——在公共场所给手机充电——并且从未三思而后行。这听起来似乎合理,因为它确实如此,特别是如果您正在考虑其他类似的、非常真实且活跃的犯罪分子使用公共设备(例如信用卡盗刷器)窃取您的信息的例子。感觉任何人都可能陷入其中,其后果可能是毁灭性的。
好消息是:大多数(尽管不是全部)手机都有这样的信任警告。这些年来,手机电池也变得越来越好,增加了充电之间所需的时间长度。但也许您有一部旧手机,或者您手机的操作系统没有此警告。也许您不相信自己不会在“信任”按钮弹出时错误地点击它。
或者也许您只是对这种情况发生的理论上的可能性感到不安。毕竟,自从它首次引起公众注意以来的 12 年里似乎还没有发生过,并不意味着它永远不会发生。马库斯表示,创建一个看似合法的充电站并将其放置在人流量大的区域相对简单,因为那里很多人可能会尝试为手机充电。然后,黑客所要做的就是坐下来等待受害者。
“这仍然是一个活跃的风险,”马库斯说。“我个人认为机场的充电端口很容易受到影响。”
考虑到这一点,如果您倾向于格外谨慎,可以采取一些简单的措施来保护自己。
- 不要使用充电站:显然。但是,当您的电池电量不足并且您无法很快找到值得信赖的充电器时,这并没有多大帮助。所以 …
- 随身携带外接电池:如果您有自己的电源,则无需插入手机即可充电。
- 不要通过 USB 端口充电: USB 端口是这里的威胁。老式电源插座很安全。带上自己的电源线,插入墙壁即可供电,无需担心。
- 使用您信任的充电线:黑客还想出了如何通过某些 USB 充电线窃取您的数据,尽管这种威胁似乎与果汁劫持一样理论上。不过,如果您已经走到这一步了,而且还非常担心 USB 不安全,那么您不妨一路走下去。
- 为您的 USB 线购买安全套:是的,这些是存在的。它们在技术上使得数据传输变得不可能,而且它们非常小且易于携带。只要确保您从信誉良好的地方购买知名品牌即可。
韭菜热线原创版权所有,发布者:风生水起,转载请注明出处:https://www.9crx.com/76036.html
