Tveksam FBI-varning för publika laddportar

Uppdatering 2023-04-21: Nu har både EFF och Freedom of the Press gett sin samstämmiga syn på de faktiska riskerna med publika laddportar.

De senaste dagarna har många medier rapporterat om FBI:s varning för publika laddportar. Varningen publicerades både på Denver FBI:s Twitter-konto och på FBI:s officiella webbplats. Där avråder FBI från att använda USB-laddportar på flygplatser, hotell och shopping­center. De uppmanar allmänheten att i stället använda sina egna USB-kablar och USB-laddare. Bakgrunden är att angripare kan ha bytt ut publika laddare eller laddkablar till attack­verktyg som infekterar icke-underhållna mobiler.

I Bli säker-podden har vi pratat om problemet med attack­preparerade USB-laddare, USB-kablar och USB-minnen (till exempel OMG Cable och Rubber Ducky). Vi avråder också bestämt från att ta emot gratis USB-prylar (laddare, kablar, minnen, fläktar med mera) som skänks i marknads­förings­syfte. Dessa USB-prylar kan ha inbyggda tangentbords­emulatorer som infekterar datorn med skadeprogram när de kopplas in i datorn. Detta kan tangentbords­emulatorer göra utan att utnyttja någon sårbarhet. För datorns operativ­system och antivirus ser det ut som att det är användaren själv som laddar ned och kör skade­programmet.

Skillnaden i faktisk risk

Vår varning och FBI:s varning har två väsentliga skillnader: enhetstypen och risken. För det första, när det gäller attacker mot mobiler måste det finnas en sårbarhet i mobilens operativsystem för att den ska kunna bli infekterad. För det andra skiljer risken för att bli utsatt. Risken för att angripare försöker attackera utvalda organisationer genom att skicka attack­preparerade USB-prylar till deras medarbetare är påtaglig. Risken för att angripare skulle byta ut en mängd USB-laddare och USB-kablar i hopp om att någon attackvärd måltavla med sårbar mobil­telefon kopplar in sig just där är tvärtom låg. Risken är inte obefintlig, men den är inte så hög att vanliga människor behöver låta bli att nödladda sina mobiler.

Rekommendation

Håll din mobil uppdaterad. Använd med fördel dina egna laddare och kablar för att ladda mobilen. Ha gärna med en powerbank på resan för att ladda dina prylar.

Om du är en attraktiv måltavla i angripares ögon (till exempel politiker eller företagsledare) bör du ta FBI:s varning på allvar. Om du är en vanlig privat­person kan du, utan nämnvärd risk, nödladda din mobil i publika laddportar.

Oavsett vem du är bör du inte ta emot USB-prylar som någon okänd person som vill ge dem specifikt till dig eller till organisationen där du jobbar. Detta gäller även reklamprylar.

Denna artikel är publicerad under CC BY 4.0-licens, med undantag för citat och bilder där en annan fotograf är angiven.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar