Heutzutage verfügen Flughäfen, Fast-Food-Restaurants und sogar Busse über USB-Ladestationen. Aber sind diese öffentlichen Häfen sicher? Könnte Ihr Telefon oder Tablet gehackt werden, wenn Sie eines verwenden? Wir haben es überprüft!
Inhaltsverzeichnis
Einige Experten haben Alarm geschlagen
Einige Experten meinen, Sie sollten sich Sorgen machen, wenn Sie eine öffentliche USB-Ladestation verwendet haben. Anfang dieses Jahres haben Forscher des Elite-Penetrationstest-Teams von IBM, X-Force Red, gab düstere Warnungen über die Risiken öffentlicher Ladestationen.
„Das Anschließen an einen öffentlichen USB-Port ist so, als würde man eine Zahnbürste am Straßenrand finden und sich entscheiden, sie in den Mund zu stecken“, sagt Caleb Barlow, Vice President of Threat Intelligence bei X-Force Red. „Du hast keine Ahnung, wo das Ding gewesen ist.“
Barlow weist darauf hin, dass USB-Anschlüsse nicht nur Strom übertragen, sondern auch Daten zwischen Geräten übertragen.
Moderne Geräte geben Ihnen die Kontrolle. Sie dürfen ohne Ihre Erlaubnis keine Daten von einem USB-Port annehmen – deshalb die Option „Diesem Computer vertrauen?“. Eingabeaufforderung existiert auf iPhones. Eine Sicherheitslücke bietet jedoch eine Möglichkeit, diesen Schutz zu umgehen. Dies ist nicht der Fall, wenn Sie einfach einen vertrauenswürdigen Strombaustein an einen Standard-Stromanschluss anschließen. Bei einem öffentlichen USB-Port sind Sie jedoch auf eine Verbindung angewiesen, die Daten übertragen kann.
Mit ein wenig technischer Raffinesse ist es möglich, einen USB-Port zu einer Waffe zu machen und Malware auf ein angeschlossenes Telefon zu übertragen. Dies gilt insbesondere, wenn das Gerät mit Android oder einer älteren iOS-Version ausgeführt wird und daher bei Sicherheitsupdates im Rückstand ist.
Es klingt alles beängstigend, aber basieren diese Warnungen auf realen Bedenken? Ich habe tiefer gegraben, um das herauszufinden.
Von der Theorie zur Praxis
Sind USB-basierte Angriffe auf mobile Geräte also rein theoretisch? Die Antwort ist ein eindeutiges Nein.
Sicherheitsforscher sehen Ladestationen seit langem als potentiellen Angriffsvektor an. Im Jahr 2011 sogar der erfahrene Infosec-Journalist Brian Krebs prägte den Begriff „Juice Jacking“ Exploits zu beschreiben, die davon profitieren. Da mobile Geräte in Richtung Massenadoption vordringen, haben sich viele Forscher auf diese eine Facette konzentriert.
Im Jahr 2011 stellte die Wall of Sheep, eine Randveranstaltung der Defcon-Sicherheitskonferenz, Ladestationen bereit, die bei Verwendung ein Pop-up auf dem Gerät erzeugten, das vor den Gefahren des Anschlusses an nicht vertrauenswürdige Geräte warnte.
Zwei Jahre später, beim Blackhat USA Event, Forscher von Georgia Tech demonstrierten ein Werkzeug die sich als Ladestation tarnen und Malware auf einem Gerät installieren könnten, auf dem die neueste Version von iOS ausgeführt wird.
Ich könnte fortfahren, aber Sie bekommen die Idee. Die wichtigste Frage ist, ob sich die Entdeckung von „Juice Jacking“ in realen Angriffen niedergeschlagen hat. Hier wird es etwas trüb.
Das Risiko verstehen
Obwohl „Juice Jacking“ ein beliebter Schwerpunkt von Sicherheitsforschern ist, gibt es kaum dokumentierte Beispiele für Angreifer, die diesen Ansatz waffenfähig machen. Der Großteil der Medienberichterstattung konzentriert sich auf Machbarkeitsstudien von Forschern, die für Institutionen wie Universitäten und Informationssicherheitsfirmen arbeiten. Dies liegt höchstwahrscheinlich daran, dass es von Natur aus schwierig ist, eine öffentliche Ladestation zu Waffen zu machen.
Um eine öffentliche Ladestation zu hacken, müsste sich der Angreifer spezielle Hardware (z. Versuchen Sie dies an einem geschäftigen internationalen Flughafen, wo die Passagiere intensiv überwacht werden und die Sicherheitskräfte beim Check-in Werkzeuge wie Schraubendreher beschlagnahmen. Die Kosten und das Risiko machen Saftpressen grundsätzlich ungeeignet für Angriffe auf die Allgemeinheit.
Es gibt auch das Argument, dass diese Angriffe relativ ineffizient sind. Sie können nur Geräte infizieren, die an eine Ladesteckdose angeschlossen sind. Darüber hinaus verlassen sie sich häufig auf Sicherheitslücken, die Hersteller von mobilen Betriebssystemen wie Apple und Google regelmäßig schließen.
Wenn ein Hacker eine öffentliche Ladestation manipuliert, handelt es sich realistischerweise wahrscheinlich um einen gezielten Angriff auf eine wertvolle Person und nicht auf einen Pendler, der auf dem Weg zur Arbeit ein paar Akku-Prozentpunkte erbeuten muss.
Sicherheit zuerst
Es ist nicht die Absicht dieses Artikels, die Sicherheitsrisiken von Mobilgeräten herunterzuspielen. Smartphones werden manchmal verwendet, um Malware zu verbreiten. Es gab auch Fälle, in denen Telefone infiziert wurden, während sie mit einem Computer verbunden waren, der bösartige Software beherbergt.
In einem Reuters-Artikel aus dem Jahr 2016 sagte Mikko Hypponen, der praktisch das öffentliche Gesicht von F-Secure ist, beschrieben einen besonders schädlichen Stamm von Android-Malware davon betroffen war ein europäischer Flugzeughersteller.
„Hypponen sagte, er habe kürzlich mit einem europäischen Flugzeughersteller gesprochen, der sagte, dass er jede Woche die Cockpits seiner Flugzeuge von Malware säubert, die für Android-Handys entwickelt wurde. Die Malware verbreitete sich nur auf die Flugzeuge, weil Fabrikmitarbeiter ihre Telefone über den USB-Anschluss im Cockpit aufladen“, heißt es in dem Artikel.
„Da das Flugzeug ein anderes Betriebssystem hat, würde ihm nichts passieren. Aber es würde den Virus auf andere Geräte übertragen, die an das Ladegerät angeschlossen waren.“
Sie kaufen eine Hausratversicherung nicht, weil Sie damit rechnen, dass Ihr Haus abbrennt, sondern weil Sie für den schlimmsten Fall planen müssen. Ebenso sollten Sie bei der Nutzung von Computer-Ladestationen vernünftige Vorkehrungen treffen. Verwenden Sie nach Möglichkeit eine normale Wandsteckdose anstelle eines USB-Anschlusses. Ziehen Sie andernfalls in Betracht, einen tragbaren Akku aufzuladen, anstatt Ihr Gerät. Sie können auch einen tragbaren Akku anschließen und Ihr Telefon während des Ladevorgangs damit aufladen. Mit anderen Worten: Vermeiden Sie es nach Möglichkeit, Ihr Telefon direkt an öffentliche USB-Anschlüsse anzuschließen.
Auch wenn das Risiko kaum dokumentiert ist, ist es immer besser, auf Nummer sicher zu gehen. Vermeide es generell, deine Sachen an USB-Anschlüsse anzuschließen, denen du nicht vertraust.