В этом материале рассматривается, какие риски несет пользователь мобильного устройства, подключая его к публичной зарядной станции через USB-разъем. Даются рекомендации о том, как безопасно зарядить гаджет в общественном месте.
Зарядка, вредная для здоровья гаджета
Практически каждый пользователь мобильных гаджетов хотя бы раз оказывался в ситуации, когда аккумулятор садится в самое неподходящее время, а «пауэрбанка» под рукой нет. Поэтому, когда на вокзалах и в аэропортах, в кафе, торговых центрах и других публичных местах начали появляться зарядные станции, все восприняли это как огромное благо. Из-за кажущейся простоты этих устройств (обычные USB-разъем или кабель, проводящие ток, – что в них особенного?) мы практически никогда не задумываемся об информационной безопасности такого рода подключений. Максимум, о чем думает среднестатистический пользователь, – это возможные физические неудобства: достаточное ли напряжение выдает зарядная станция, не поврежден ли разъем, не ударит ли током.
Стандартные порты гаджетов (micro USB, USB-C, Apple Lightning) и соответствующие шнуры питания, подсоединяемые к USB-разъемам, предназначены также для передачи данных. Поэтому подключение гаджета к зарядной станции технически почти не отличается от его подключения к персональному компьютеру. И если злоумышленник внедрит в публичную зарядку собственный микроконтроллер или специальную программу, он сможет получить доступ к персональным данным владельца смартфона или заразить устройство вредоносным программным обеспечением (ПО).
Однако стоит признать, что громких примеров использования такой схемы мошенничества пока не было зафиксировано ни в России, ни за рубежом. Вероятно, для хищения информации пользователей и распространения вредоносных программ злоумышленникам достаточно дистанционных каналов и методов социальной инженерии.
Вместе с тем риск реально существует, и не просто в теории. Еще десять лет назад хакеры представили специальное зарядное устройство, позволяющее взломать любой гаджет под управлением операционной системы iOS. В России не так давно прошла волна публикаций об опасности зарядки телефона в общественных местах.
Какие опасности может таить USB-зарядка?
Изобретательность злоумышленников в «дооснащении» публичного оборудования в корыстных целях ярко проявляется в примере с банковскими терминалами. Так, до массового распространения технологии беспроводной передачи данных малого радиуса действия (Near Field Communication, NFC) с помощью скиммера, накладной клавиатуры и скрытой видеокамеры они успешно компрометировали банковские карты. И если даже банкомат, за которым установлен круглосуточный контроль, может оказаться подверженным такой «доработке», то что говорить о зарядных киосках, за которыми порой никто не следит? Да, выгода хакера в последнем случае окажется в разы меньше. Но это не помешает, например, какому-то одиночному преступнику атаковать устройства пользователей через USB ради эксперимента или банального вредительства.
Итак, какие компоненты публичных зарядных станций USB могут нести опасность:
USB-разъем. Злоумышленники могут модифицировать станцию зарядки и внедрить в разъем микросхему, предназначенную для извлечения и пересылке данных из устройства, загрузки вредоносного кода на устройство.
- Зарядный кабель. Некоторые зарядные станции оснащены не USB-разъемами, а шнурами, имеющими выходы для разных типов устройств. Теоретически хакеры могут разместить микроконтроллер прямо в этом кабеле.
- Общедоступные зарядные устройства и «пауэрбанки». Сегодня в разных местах можно встретить устройства по аренде «пауэрбанков», а зарядные устройства могут даже раздаваться бесплатно в рамках какой-нибудь рекламной акции. Никто не гарантирует, что в таких устройствах не скрыта вредоносная схема.
- Фейковые зарядные киоски. Выглядит как экзотика, но почему нет? Конечно, в аэропорту или торговом центре злоумышленники вряд ли решатся установить нелегальную стойку, но они могут это сделать в парке или другом открытом городском пространстве.
Предупрежден – значит, вооружен (собственной зарядкой)
Вред, который злоумышленник может нанести пользователю с помощью вредоносной «зарядки», сравним с вредом от любой другой кибератаки. В первую очередь, это кража данных. Чаще всего она сопровождается заражением устройства троянской программой, блокировщиком, шифровальщиком или любым другим вредоносным программным обеспечением.
Наличие вирусов на смартфоне – причина появления серьезных уязвимостей, влияющих как на работоспособность гаджета, так и на безопасность конфиденциальных сведений – данных банковских карт, логинов и паролей от личных кабинетов и т. д. Часто для того, чтобы полностью очистить смартфон от вирусов, требуется его «откат» до заводских настроек. Бывает, что из-за вредоносного ПО устройство полностью выходит из строя.
Некоторые программы (например, шпионские) могут оставаться на гаджете сколь угодно долго – до тех пор, пока пользователь не обнаружит проблему, – и нанести гораздо больший ущерб, чем просто потеря или даже утечка фотографий и переписки. Например, при входе в приложение мобильного банка или вводе пароля от социальной сети учетные данные пользователя могут быть переданы злоумышленнику.
Рекомендации
Чтобы защититься от этой угрозы, рекомендуем выполнять ряд несложных правил:
- В идеале стоит отказаться от использования публичных зарядных станций. Нет угрозы – нет проблемы. Но это не всегда возможно.
- Установите на смартфон надежный антивирус проверенного разработчика – например, от Kaspersky или Dr.Web. Антивирусная программа отслеживает попытки незаконных действий через USB-порт, а также защищает от десятков других угроз.
- Используйте обычную электрическую розетку вместо USB-порта. Многие зарядные киоски предоставляют выбор: USB или 220В. Носите с собой полноценное зарядное устройство с блоком питания.
- «Пауэрбанк» – физически более тяжелый, но тоже 100% безопасный вариант.
- Если все-таки часто приходится заряжать устройство через публичный USB-порт, можно приобрести кабель, предназначенный только для зарядки (без функции передачи данных) или специальное устройство-блокиратор данных.
- Если устройство при подключении дата-кабеля предоставляет выбор – зарядить или передать данные – в публичных местах всегда выбирайте первый вариант.
- Повод для беспокойства – если при подключении устройства к публичной зарядке оно запросит разрешение на добавление USB-подключения в список доверенных устройств. В таком случае гаджет стоит немедленно отсоединить.
.jpg)