Uppdatering 2023-04-21: Nu har både EFF och Freedom of the Press gett sin samstämmiga syn på de faktiska riskerna med publika laddportar.
De senaste dagarna har många medier rapporterat om FBI:s varning för publika laddportar. Varningen publicerades både på Denver FBI:s Twitter-konto och på FBI:s officiella webbplats. Där avråder FBI från att använda USB-laddportar på flygplatser, hotell och shoppingcenter. De uppmanar allmänheten att i stället använda sina egna USB-kablar och USB-laddare. Bakgrunden är att angripare kan ha bytt ut publika laddare eller laddkablar till attackverktyg som infekterar icke-underhållna mobiler.
I Bli säker-podden har vi pratat om problemet med attackpreparerade USB-laddare, USB-kablar och USB-minnen (till exempel OMG Cable och Rubber Ducky). Vi avråder också bestämt från att ta emot gratis USB-prylar (laddare, kablar, minnen, fläktar med mera) som skänks i marknadsföringssyfte. Dessa USB-prylar kan ha inbyggda tangentbordsemulatorer som infekterar datorn med skadeprogram när de kopplas in i datorn. Detta kan tangentbordsemulatorer göra utan att utnyttja någon sårbarhet. För datorns operativsystem och antivirus ser det ut som att det är användaren själv som laddar ned och kör skadeprogrammet.
Skillnaden i faktisk risk
Vår varning och FBI:s varning har två väsentliga skillnader: enhetstypen och risken. För det första, när det gäller attacker mot mobiler måste det finnas en sårbarhet i mobilens operativsystem för att den ska kunna bli infekterad. För det andra skiljer risken för att bli utsatt. Risken för att angripare försöker attackera utvalda organisationer genom att skicka attackpreparerade USB-prylar till deras medarbetare är påtaglig. Risken för att angripare skulle byta ut en mängd USB-laddare och USB-kablar i hopp om att någon attackvärd måltavla med sårbar mobiltelefon kopplar in sig just där är tvärtom låg. Risken är inte obefintlig, men den är inte så hög att vanliga människor behöver låta bli att nödladda sina mobiler.
Rekommendation
Håll din mobil uppdaterad. Använd med fördel dina egna laddare och kablar för att ladda mobilen. Ha gärna med en powerbank på resan för att ladda dina prylar.
Om du är en attraktiv måltavla i angripares ögon (till exempel politiker eller företagsledare) bör du ta FBI:s varning på allvar. Om du är en vanlig privatperson kan du, utan nämnvärd risk, nödladda din mobil i publika laddportar.
Oavsett vem du är bör du inte ta emot USB-prylar som någon okänd person som vill ge dem specifikt till dig eller till organisationen där du jobbar. Detta gäller även reklamprylar.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.