每幾年,Juice Jacking 就會再次出現在新聞中,就像最近 FBI 對此風險發出警告一樣,你可能會想知道它到底是什麼,以及你是否應該擔心。無論你使用 iPhone 還是 Android 手機,這兩種設備有一個共同點,那就是電源供應和數據流通過同一條電纜。一開始
2011年便出現的 Juice Jacking
看起來似乎並沒有什麼大不了的,但它為惡意使用者在充電過程中使用硬件或軟件漏洞來訪問你的手機創造了一個獨特的攻擊向量。
這種攻擊方法被稱為“Juice Jacking”,這個詞是安全記者布賴恩·克雷布斯(Brian Krebs)在 2011 年撰寫了一篇關於在 Defcon 安全會議中被攻擊的充電亭的漏洞概念的文章中提出的。
自 2011 年以來,安全研究人員在每次後續的 Defcon 安全會議上都設置了一個新的受損充電亭,以展示已知的漏洞並提高公眾對 Juice Jacking 的認識。
多年來,已經識別出了多個針對 USB 充電的漏洞,這些漏洞屬於 Juice Jacking 攻擊的範疇。2012 年,安全研究人員凱爾·奧斯本(Kyle Osborn)展示了一種 Juice Jacking 攻擊,可以攻擊解鎖並連接的手機,盜取數據,包括 Google 認證密鑰。
一年後的 2013 年,喬治亞理工學院的研究生展示了一種可在 USB 充電線上劫持 iOS 設備的概念證明攻擊,攻擊對 iOS 無法檢測,並給攻擊者完全訪問該設備的權限。2014 年,展示了 BadUSB 攻擊的研究人員突顯出,感染 Android 手機以成為 BadUSB 載荷,以後訪問用戶的個人電腦或企業網絡是一種可行的攻擊向量。
2016 年,在 Defcon 上展示了另一種概念證明攻擊,允許控制受損充電器的人通過屏幕鏡像漏洞監控 iOS 和 Android 設備的屏幕。因此,只要你在受損的站點充電,攻擊者就可以像在你肩膀上一樣觀察你所做的一切。
Symantec 發現斷線也可以攻擊
Symantec 研究人員於 2018 年展示了一種更令人擔憂的漏洞,他們發現的漏洞從 Juice Jacking 開始,但即使在你斷開與受損充電器的連接後,它仍然存在。他們稱之為“TrustJacking”的攻擊向量,因為它利用 iOS 設備和 iTunes 之間的握手,允許惡意行為者在設備從插頭中拔出後仍然通過 Wi-Fi 與 iOS 設備保持連接。
你應該擔心 Juice Jacking 嗎?
目前,Juice Jacking 是一個理論上的威脅,沒有已知的針對該攻擊的報告。安全研究人員發現了漏洞,製造商修補它,一切如常。你當地機場內的 USB 充電端口實際上是數據泄露和惡意軟件注入計算機的秘密前線的機會非常低。然而,這並不意味著你應該對將你的智能手機或平板電腦插入未知設備帶來的真實安全風險掉以輕心。
多年前,當 Firefox 擴展程序 Firesheep 成為安全圈中的熱話時,正是簡單的瀏覽器擴展程序使用者能夠劫持本地 Wi-Fi 節點上其他使用者的 Web 服務使用者會話的普遍理論風險導致了重大變化。
最終使用者開始更加重視他們的瀏覽會話安全(使用技術如通過家庭互聯網連接或連接到遠程 VPN),主要互聯網公司進行了重大安全更改(例如加密整個瀏覽器會話,而不僅僅是登錄)。
正是通過這種方式,讓使用者意識到 Juice Jacking 的威脅既減少了人們被 Juice Jacking 的機會,又增加了對公司改進安全實踐的壓力。發現漏洞的最糟糕時間是在你被漏洞攻擊之後。避免被漏洞攻擊的最好方法是遵循最佳實踐,最大程度地減少風險。Juice Jacking 可能不像短信銀行詐騙那樣普遍(且易於部署),但這並不意味著你應該完全忽略潛在的風險。
如何避免 Juice Jacking 攻擊
避免在公共充電站使用不安全的端口,最好的方法是使用一些簡單的實踐,確保你的手機從不與公共充電站進行“裸露”的交互。首先,讓我們看一些最佳實踐,以避免在使用充電站或端口時出現問題。
- 使用自己的充電器:如果可能的話,最好帶上自己的充電器,避免使用公共充電站。
- 使用充電器轉換器:如果你必須使用公共充電站,則建議使用充電器轉換器,將 USB 訊號轉換為直流訊號,從而消除數據傳輸風險。這些轉換器可以在網上或電子產品零售店中購買。
- 使用 USB 防火牆:USB 防火牆是一種 USB 過濾器,可以過濾傳入的數據流以防止傳輸惡意軟件或病毒。這些防火牆通常可以在網上或電子產品零售店中購買。
- 使用電源插座:如果可能的話,最好使用電源插座來充電手機。這樣可以消除使用 USB 連接線時產生的任何安全風險。
- 禁用 USB 數據傳輸:有些手機和平板電腦允許用戶在充電時禁用 USB 數據傳輸。這可以在設備的設置中進行調整,確保數據無法在充電過程中傳輸。
如果你必須使用公共充電站
則可以考慮使用充電器轉換器或 USB 防火牆,以防止數據傳輸和病毒注入。同時,使用自己的充電器或使用電源插座來充電可以進一步降低風險。
最重要的是,要保持警惕和警覺。如果你注意到有可疑的充電站或充電線,或者你的手機在充電過程中出現異常,那麼最好中斷充電並儘快檢查手機是否受到任何損害。
雖然 Juice Jacking 可能只是一個理論上的威脅,但這並不意味著你可以忽視它。透過遵循最佳實踐,你可以保護自己的個人和敏感信息,避免成為 Juice Jacking 的受害者。