आपके स्मार्टफोन को रिचार्ज की जरूरत हैअभी तक फिर से और आप घर पर चार्जर से मील हैं; कि सार्वजनिक चार्जिंग कियोस्क बहुत ही आशाजनक दिख रहा है-बस अपने फोन को प्लग करें और मिठाई, मीठा, ऊर्जा जो आप चाहते हैं उसे प्राप्त करें। क्या संभव हो सकता है गलत, सही? सेलफोन हार्डवेयर और सॉफ्टवेयर डिज़ाइन में सामान्य लक्षणों के लिए धन्यवाद, कुछ चीजें-रस जैकिंग और इससे बचने के तरीके के बारे में अधिक जानने के लिए पढ़ें।
जूस जैकिंग वास्तव में क्या है?
आपके पास आधुनिक स्मार्टफ़ोन के बावजूद-चाहे यह एक एंड्रॉइड डिवाइस, आईफोन, या ब्लैकबेरी हो - सभी फोनों में एक आम सुविधा है: बिजली की आपूर्ति और डेटा स्ट्रीम उसी केबल पर गुजरती है। चाहे आप अब मानक यूएसबी मिनीबी कनेक्शन या ऐप्पल के मालिकाना केबल्स का उपयोग कर रहे हों, यह वही स्थिति है: आपके फोन में बैटरी रिचार्ज करने के लिए उपयोग की जाने वाली केबल एक ही केबल है जिसका उपयोग आप अपने डेटा को स्थानांतरित और सिंक करने के लिए करते हैं।
यह सेटअप, एक ही केबल पर डेटा / पावर, एक दुर्भावनापूर्ण उपयोगकर्ता के लिए चार्जिंग प्रक्रिया के दौरान आपके फोन तक पहुंच प्राप्त करने के लिए एक दृष्टिकोण वेक्टर प्रदान करता है; यूएसबी डेटा / पावर केबल को अवैध रूप से फोन के डेटा तक पहुंचने और डिवाइस पर दुर्भावनापूर्ण कोड इंजेक्ट करने के लिए लीवरेजिंग को जूस जैकिंग के नाम से जाना जाता है।
हमला गोपनीयता के आक्रमण के रूप में सरल हो सकता है, जिसमें चार्जिंग कियोस्क के भीतर छुपा कंप्यूटर के साथ आपके फोन जोड़े और निजी फोटो और संपर्क जानकारी जैसी जानकारी दुर्भावनापूर्ण डिवाइस में स्थानांतरित की जाती है। हमला आपके डिवाइस में सीधे दुर्भावनापूर्ण कोड के इंजेक्शन के रूप में आक्रामक भी हो सकता है। इस साल के ब्लैकहैट सुरक्षा सम्मेलन में, सुरक्षा शोधकर्ता बिली लऊ, योंगजिन जांग और चेनियू सांग "मैक्सन: आईओएस उपकरणों में मैलवेयर इंजेक्शन के माध्यम से मैलवेयर चार्जर्स के माध्यम से इंजेक्शन कर रहे हैं" प्रस्तुत कर रहे हैं, और यहां उनके प्रस्तुति सार से एक अंश है:
In this presentation, we demonstrate how an iOS device can be compromised within one minute of being plugged into a malicious charger. We first examine Apple’s existing security mechanisms to protect against arbitrary software installation, then describe how USB capabilities can be leveraged to bypass these defense mechanisms. To ensure persistence of the resulting infection, we show how an attacker can hide their software in the same way Apple hides its own built-in applications.
To demonstrate practical application of these vulnerabilities, we built a proof of concept malicious charger, called Mactans, using a BeagleBoard. This hardware was selected to demonstrate the ease with which innocent-looking, malicious USB chargers can be constructed. While Mactans was built with limited amount of time and a small budget, we also briefly consider what more motivated, well-funded adversaries could accomplish.
सस्ते ऑफ-द-शेल्फ हार्डवेयर और चमकदार सुरक्षा भेद्यता का उपयोग करके, वे इस तरह की चीज़ से बचने के लिए ऐप्पल ने कई सुरक्षा सावधानी बरतने के बावजूद, एक मिनट से भी कम समय में वर्तमान पीढ़ी आईओएस उपकरणों तक पहुंच हासिल करने में सक्षम थे।
इससे भी ज्यादा परेशानी यह है कि एक दुर्भावनापूर्ण कियोस्क के संपर्क में दुर्भावनापूर्ण कोड के तत्काल इंजेक्शन के बावजूद एक लंबी सुरक्षा समस्या पैदा हो सकती है। इस विषय पर हाल के एक लेख में, सुरक्षा शोधकर्ता जोनाथन ज़्डज़ीर्स्की ने बताया कि कैसे आईओएस जोड़ी कमजोरता बनी रहती है और दुर्भावनापूर्ण उपयोगकर्ताओं को आपके डिवाइस पर एक विंडो प्रदान कर सकती है, भले ही आप कियोस्क के संपर्क में न हों:
If you’re not familiar with how pairing works on your iPhone or iPad, this is the mechanism by which your desktop establishes a trusted relationship with your device so that iTunes, Xcode, or other tools can talk to it. Once a desktop machine has been paired, it can access a host of personal information on the device, including your address book, notes, photos, music collection, sms database, typing cache, and can even initiate a full backup of the phone. Once a device is paired, all of this and more can be accessed wirelessly at any time, regardless of whether you have WiFi sync turned on. A pairing lasts for the life of the file system: that is, once your iPhone or iPad is paired with another machine, that pairing relationship lasts until you restore the phone to a factory state.
यह तंत्र, जो आपके आईओएस डिवाइस को दर्द रहित और मनोरंजक बनाने का इरादा रखता है, वास्तव में एक दर्दनाक स्थिति बना सकता है: कियोस्क ने आप अपने आईफोन को फिर से रिचार्ज कर सकते हैं, सैद्धांतिक रूप से, अपने आईओएस डिवाइस पर एक वाई-फाई नाम्बिल कॉर्ड बनाए रखने के बाद भी आपने अपने फोन को अनप्लग किया है और गुस्सा पक्षी के एक दौर (या चालीस) खेलने के लिए पास के हवाई अड्डे लाउंज कुर्सी में फिसल गया है।
मुझे कितना चिंतित होना चाहिए?
कई साल पहले, जब फ़ायरफ़ॉक्स एक्सटेंशन फारेशिप सुरक्षा सर्किलों में शहर की बात थी, तो यह काफी हद तक सैद्धांतिक लेकिन अभी भी एक साधारण ब्राउज़र एक्सटेंशन का असली खतरा था जो उपयोगकर्ताओं को अन्य उपयोगकर्ताओं के वेब-सेवा उपयोगकर्ता सत्रों को हाइजैक करने की इजाजत देता था स्थानीय वाई-फाई नोड जिसने महत्वपूर्ण बदलाव किए। अंतिम उपयोगकर्ताओं ने अपनी ब्राउज़िंग सत्र सुरक्षा को और गंभीरता से लेना शुरू किया (अपने घर इंटरनेट कनेक्शन के माध्यम से सुरंग जैसी तकनीकों का उपयोग करना या वीपीएन से कनेक्ट करना) और प्रमुख इंटरनेट कंपनियों ने प्रमुख सुरक्षा परिवर्तन किए (जैसे पूरे ब्राउज़र सत्र को एन्क्रिप्ट करना और केवल लॉगिन नहीं)।
इस फैशन में, उपयोगकर्ताओं को रस जैकिंग के खतरे से अवगत कराने के कारण दोनों लोगों को रस कम हो जाएगा और कंपनियां अपने सुरक्षा प्रथाओं को बेहतर ढंग से प्रबंधित करने के लिए दबाव बढ़ाती हैं (उदाहरण के लिए, यह है कि आपके आईओएस डिवाइस जोड़े इतनी आसानी से और आपके उपयोगकर्ता को चिकनी अनुभव करता है, लेकिन युग्मित डिवाइस में 100% ट्रस्ट के साथ आजीवन युग्मन के प्रभाव काफी गंभीर हैं)।
मैं रस जैकिंग से कैसे बच सकता हूं?
यद्यपि रस जैकिंग समझौता किए गए डाउनलोड के माध्यम से पूरी तरह से फोन चोरी या दुर्भावनापूर्ण वायरस के संपर्क में खतरे के रूप में व्यापक रूप से खतरे में नहीं है, फिर भी आपको उन सिस्टमों के संपर्क से बचने के लिए सामान्य ज्ञान सावधानी बरतनी चाहिए जो दुर्भावनापूर्ण आपके व्यक्तिगत उपकरणों तक पहुंच सकते हैं।Exogear की छवि सौजन्य.
तीसरे पक्ष के सिस्टम का उपयोग करके अपने फोन को चार्ज करने के लिए इसे अनावश्यक बनाने के आसपास सबसे स्पष्ट सावधानी बरतें:
अपने उपकरणों को ऊपर रखें: सबसे स्पष्ट सावधानी आपके मोबाइल डिवाइस को चार्ज रखना है। जब आप सक्रिय रूप से इसका उपयोग नहीं कर रहे हों या अपने डेस्क पर काम कर रहे हों तो अपने घर और कार्यालय में अपने फोन को चार्ज करने की आदत बनाएं। जब आप यात्रा कर रहे हों या घर से दूर हों, तो कम बार आप लाल 3% बैटरी बार पर घूमते रहें, बेहतर।
एक व्यक्तिगत चार्जर ले लो: चार्जर्स इतने छोटे और हल्के हो गए हैं कि वे वास्तविक यूएसबी केबल से अधिक वजन नहीं लेते हैं। अपने बैग में एक चार्जर फेंको ताकि आप अपने फोन को चार्ज कर सकें और डेटा पोर्ट पर नियंत्रण बनाए रख सकें।
बैकअप बैटरी ले जाएं: चाहे आप एक पूर्ण अतिरिक्त बैटरी (उन उपकरणों के लिए जो आपको बैटरी को भौतिक रूप से स्वैप करने की अनुमति देते हैं) या बाहरी रिजर्व बैटरी (इस छोटे 2600 एमएएच की तरह) ले जाने का विकल्प चुनते हैं, तो आप अपने फोन को कियोस्क या वॉल आउटलेट में टेदर करने की आवश्यकता के बिना अधिक समय तक जा सकते हैं ।
यह सुनिश्चित करने के अलावा कि आपका फोन एक पूर्ण बैटरी बनाए रखता है, वहां अतिरिक्त सॉफ़्टवेयर तकनीकें हैं जिनका आप उपयोग कर सकते हैं (हालांकि, जैसा कि आप कल्पना कर सकते हैं, ये आदर्श से कम हैं और सुरक्षा शोषण की लगातार विकसित हथियारों की दौड़ को देखते हुए काम करने की गारंटी नहीं है)। इस प्रकार, हम वास्तव में इनमें से किसी भी तकनीक को वास्तव में प्रभावी रूप से प्रभावी नहीं मान सकते हैं, लेकिन वे कुछ भी करने से निश्चित रूप से अधिक प्रभावी हैं।
अपना फोन लॉक करें: जब आपका फोन लॉक हो जाता है, तो पिन या समकक्ष पासकोड के इनपुट के बिना वास्तव में लॉक और पहुंच योग्य नहीं होता है, तो आपके फोन को उस डिवाइस से जोड़ा नहीं जाना चाहिए जो उससे जुड़ा हुआ है। आईओएस डिवाइस केवल अनलॉक होने पर ही जोड़े जाएंगे- लेकिन फिर, जैसा कि हमने पहले हाइलाइट किया था, युग्मन सेकंड के भीतर होता है ताकि आप बेहतर ढंग से सुनिश्चित कर सकें कि फोन वास्तव में बंद है।
फोन को नीचे पावर करें: यह तकनीक फोन मॉडल के आधार पर केवल फोन मॉडल पर काम करती है क्योंकि कुछ फोन संचालित होने के बावजूद, अभी भी पूरे यूएसबी सर्किट पर पावर हैं और डिवाइस में फ्लैश स्टोरेज तक पहुंच की अनुमति देते हैं।
जोड़ना अक्षम करें (केवल जेलब्रोकन आईओएस डिवाइस): लेख में पहले उल्लेख किए गए जोनाथन ज़्डज़ीर्स्की ने जेलब्रोकन आईओएस उपकरणों के लिए एक छोटा सा एप्लीकेशन जारी किया जो अंतिम उपयोगकर्ता को डिवाइस के युग्मन व्यवहार को नियंत्रित करने की अनुमति देता है। आप साइडिया स्टोर में और यहां अपना एप्लिकेशन, पायरलॉक पा सकते हैं।
एक अंतिम तकनीक जिसका आप उपयोग कर सकते हैं, जो प्रभावी लेकिन असुविधाजनक है, डेटा तारों के साथ एक यूएसबी केबल का उपयोग या तो निकाला या छोटा कर दिया जाता है। "केवल बिजली" केबल्स के रूप में बेचा गया, इन केबलों में डेटा ट्रांसमिशन के लिए आवश्यक दो तार गायब हैं और शेष बिजली ट्रांसमिशन के लिए केवल दो तार हैं। हालांकि, इस तरह के केबल का उपयोग करने के डाउनसाइड्स में से एक यह है कि आपका डिवाइस आमतौर पर अधिक चार्ज करेगा क्योंकि आधुनिक चार्जर डेटा चैनलों का उपयोग डिवाइस के साथ संवाद करने के लिए करते हैं और उपयुक्त अधिकतम स्थानांतरण थ्रेसहोल्ड सेट करते हैं (इस संचार को अनुपस्थित करते हैं, चार्जर डिफ़ॉल्ट होगा सबसे कम सुरक्षित दहलीज)।
आखिरकार, एक समझौता मोबाइल डिवाइस के खिलाफ सबसे अच्छा बचाव जागरूकता है। अपने डिवाइस को चार्ज रखें, ऑपरेटिंग सिस्टम द्वारा प्रदान की गई सुरक्षा सुविधाओं को सक्षम करें (यह जानकर कि वे मूर्ख नहीं हैं और हर सुरक्षा प्रणाली का शोषण किया जा सकता है), और अपने फोन को अज्ञात चार्जिंग स्टेशनों और कंप्यूटरों में प्लग करने से बचें, वैसे ही आप बुद्धिमानी से अनुलग्नक खोलने से बचें अज्ञात प्रेषकों से।
