احتمالاً شما هم تجربهاش را داشتهاید که هنگام انتظار در کافیشاپ یا ترمینال، صدای هشدار باتری تلفن همراهتان به گوش میرسد و ناچار میشوید به دنبال شارژری در آن نزدیکی بگردید.
به گزارش زومیت، اغلب افراد پس از یافتن یک ایستگاه شارژ عمومی، با خیال راحت دستگاه خود را به کابلهای آن وصل میکنند، غافل از آن که تهدید خطرناکی در کمین آنها نشسته است؛ تهدیدی که «Juice Jacking» یا نفوذ از طریق پورت شارژ نامیده میشود و در سالهای اخیر، چنان گسترش یافته که FBI هم وارد عمل شده و در مورد خطرات آن هشدار داده است.
اما Juice Jacking دقیقاً چیست و تا چه حد خطرناک است؟ در این مقاله قصد داریم علاوه بر معرفی این شیوهی سرقت اطلاعات، نکاتی در مورد روش صحیح و ایمن شارژ کردن دستگاههای الکترونیکی در بیرون از منزل و محیط کار به شما ارائه دهیم.
اصطلاح Juice Jacking نخستینبار در سال ۲۰۱۱ ابداع شد. در آن سال یک پژوهشگر امنیتی به نام برایان مارکوس، کیوسک شارژ رایگانی را در یک کنفرانس مربوط به هک و امنیت داده قرار داد تا شرکتکنندگان در کنفرانس را از خطرات بالقوهی پورتهای USB ناشناس آگاه کند.
حملهی Juice Jacking در واقع نوعی حملهی سایبری است که موجب میشود هنگام اتصال دستگاههای قابل حمل همچون گوشیهای هوشمند به یک پورت USB آسیبپذیر، هکرها بتوانند بهراحتی به اطلاعات آن دست پیدا کنند. در واقع در اغلب این حملات، درگاههای طعمه که به ظاهر برای شارژ رایگان در اماکن عمومی تعبیه شدهاند، بهجای پریز برق به یک کامپیوتر یا دستگاه ذخیرهسازی در پشتصحنه وصل هستند. بدین ترتیب مهاجمان میتوانند بهراحتی نسخهای از دادههای داخل دستگاه شما را کپی و به بدافزار آلوده کنند یا فایلهای شما را در ازای دریافت باج به گروگان بگیرند.
Juice jacking در دههی گذشته به یک خطر جدی تبدیل شده است، چرا که شمار دستگاههایی که به پورت USB مجهز میشوند، روزبهروز افزایش مییابد. از طرفی با گسترش قابلیتهای گوشیهای هوشمند، به تدریج عادت کردهایم که دادههای حساس زیادی همچون عکسهای شخصی، ایمیلها و سوابق تراکنشهای مالی را در گوشیهایمان نگه داریم و همین موجب میشود که این دستگاهها تبدیل به اهداف وسوسهانگیزی برای باجافزارها شوند.
ازآنجاکه اغلب نمیتوانیم سیستم پنهان در پشت اکثر ایستگاههای شارژر عمومی را بررسی کنیم، امکان ندارد که بفهمیم آیا کامپیوتری در طرف دیگر دیوار منتظر اتصال به گوشی ما نشسته یا تنها یک پریز برق ساده آنجا است. از نظر تئوری، فرد مهاجم تنها با استقرار یک پورت USB آلوده میتواند دادههای هزاران دستگاه را به تدریج جمعآوری کند؛ اما خوشبختانه تاکنون گزارشی از حملات Juice jacking در مقیاس گسترده منتشر نشده است.
با این حال، آشنایی با این شیوهی سرقت اطلاعات بسیار مهم است؛ چرا که لزوماً به یک سرقت سادهی اطلاعات ختم نمیشود. فرد مهاجم میتواند از این روش برای نصب بدافزار روی دستگاه شما استفاده کند. این بدافزار تا مدتی غیرفعال میماند و پس از مدتی شروع به فعالیت در پسزمینه میکند. این بدافزار میتواند عبارتهای تایپشده در صفحهکلید گوشی شما را ثبت کند یا حتی به دوربین و میکروفون دستگاه شما در پس زمینه دسترسی داشته باشد.
شاید به دلیل افزایش امنیت اندروید و iOS در سالهای اخیر، چنین فعالیتهایی از سوی یک بدافزار مخرب دور از ذهن به نظر برسند؛ اما فراموش نکنید که حتی اپل نیز نتوانسته است در برابر جاسوسافزار بسیار پیشرفتهای همچون پگاسوس کاری از پیش ببرد یا جلوی تکثیر آن در دستگاههای جدید را بگیرد.
همانطور که در بخش قبل اشاره کردیم، Juice Jacking از وابستگی اکثر دستگاههای الکترونیکی امروزی به درگاه USB برای شارژ سوءاستفاده میکند. USB معمولاً برای تمام کارها از خروجی نمایشگر گرفته تا انتقال فایل استفاده میشود و البته میتواند برای کنترل گوشیهای هوشمند اندرویدی از طریق سیستمی به نام ADB یا Android Debug Bridge نیز استفاده شود.
وقتی گوشی هوشمند خود را به یک پورت USB آلوده وصل میکنید، ایستگاه شارژ میتواند همزمان با شارژکردن دستگاه، یک اتصال داده نیز با آن برقرار کند. همین تطبیقپذیری USB با استانداردهای مدرن، به همان اندازه که کار کاربران را راحت میکند، برای حملهی مهاجمان نیز مفید است.
برای مثال، کابل O.MG Elite یک کابل USB دستساز است که ایمپلنت پیشرفتهای در داخل خود دارد. ظاهر آن عادی به نظر میرسد، اما در واقع یک سرور وایفای کامل درون خود دارد که به آن اجازه میدهد کدهای مخرب را دانلود و آنها را روی دستگاه قربانی اجرا کند و سپس اطلاعات مدنظر هکر را برایش بفرستد.
کابل O.MG Elite میتواند پس از اتمام عملیات، بهصورت خودکار تخریب شود تا هیچگونه اثری از حمله بر جای نماند. قیمت این کابل ۱۷۹ دلار است که البته شاید برای بسیاری از هکرها ارزان نباشد، اما پتانسیل ترسناک حملات Juice Jacking را به خوبی نشان میدهد.
گوشیهای هوشمند صرفنظر از سیستمعامل، قطعا ًمجهز به سیستمهای رمزگذاری کامل هستند و یک محفظهی امن نیز روی تراشهی اصلی خود دارند. این تمهیدات باعث میشود تا زمانی که قفل دستگاه را باز نکنید، اغلب بدافزارهای معمولی قادر به آلوده کردن آن نباشند.
بنابراین خطر واقعی زمانی به وجود میآید که هنگام اتصال گوشیتان به یک درگاه USB ناشناس، قفل آن را با استفاده از پین، چهره یا اثر انگشت باز کنید. در این حالت اگر دستگاه شما دارای آسیبپذیریهای امنیتی باشد، پورت USB میتواند آن را آلوده کند.
تمهیدات سیستمعاملهای اندروید و iOS باعث میشود تا زمانی که قفل دستگاهتان را باز نکنید، اغلب بدافزارهای معمولی قادر به آلوده کردن آن نباشند
هرچند فراوانی اینگونه حملات هنوز بهحد نگرانکنندهای زیاد نیست، اما پیامدهای آن میتواند جبرانناپذیر باشد. به همین خاطر، برای ایمن کردن دستگاه خود در برابر حملات Juice Jacking بهتر است موارد زیر را رعایت کنید:
اگرچه احتمال قرار گرفتن در معرض حملهی Juice Jacking نسبتاً کم است، محافظت از دستگاهتان در برابر این حملات کار سختی نیست. بهترین اقدام، بهروز نگه داشتن نرمافزار دستگاه و خودداری از کابلهای USB ناشناس است.