مكتب التحقيقات الفدرالي يصدر تحذيرًا بشأن ‘Juice Jacking’ في محطات شحن USB العامة
يحذر مكتب مكتب التحقيقات الفيدرالي في دنفر المستهلكين من استخدام محطات الشحن العامة المجانية، قائلاً إن الجهات الفاعلة السيئة يمكنها استخدام منافذ USB في محطات العصير لإدخال برامج ضارة وبرامج مراقبة على الأجهزة.
أوصت الوكالة في تغريدة حديثة: “احمل الشاحن الخاص بك وسلك USB واستخدم مقبسًا كهربائيًا بدلاً من ذلك”.
لقد كان “Juice jacking” موجودًا منذ عقد من الزمان، على الرغم من أن لا أحد يعرف مدى انتشار هذه الممارسة.
لاحظ بريان ماركوس ، الرئيس التنفيذي لشركة Aries Security ، وهي شركة أبحاث أمنية وتعليم في ويلمنجتون ، بولاية Del. Markus ، وزميله روبرت رولي: “كان هناك الكثير من الحديث عن كونه متاحًا للجمهور، ولكن لم يتم اكتشافه كثيرًا في الجمهور” أظهر لأول مرة سحب العصير في عام 2012.
قال ماركوس لموقع TechNewsWorld: “شواحن سحب العصير تشبه كاشطات أجهزة الصراف الآلي”. “تسمع الكثير عنهم ولكنك لا تراهم بالضرورة.”
وأوضح أن أي شخص يريد العبث بمحطة شحن طاقة شرعية يمكنه تغيير كابل المحطة إلى كابل معالج، والذي يحتوي على الشريحة التي يمكنها تثبيت تروجان عن بُعد، أو باب خلفي، على الهاتف. ثم يمكن مهاجمة الهاتف في أي وقت عبر الإنترنت.
قال ماركوس: “إنه منتشر بشكل خاص مع هواتف Android التي تعمل بإصدارات أقدم من نظام التشغيل”. “لهذا السبب من المهم أن يحافظ المستخدمون على تحديث أجهزتهم.”
آراء متباينة
يبدو أن هناك آراء متضاربة في مجتمع الأمن حول مدى أهمية التهديد الذي يمثله اختراق العصير للمستهلكين.
“هذا ليس شائعًا جدًا بشكل عام لأن استخدام مرفق الشحن عن بُعد ليس شيئًا يفعله الناس كثيرًا”، هذا ما لاحظه Bud Broomhead ، الرئيس التنفيذي لشركة Viakoo ، مطور حلول برمجيات الأمن السيبراني والمادي في ماونتن فيو، كاليفورنيا.
قال لـ TechNewsWorld: “ومع ذلك، إذا كان شخص ما مستخدمًا لنظام شحن خارج عن سيطرته، فإن التحذير الصادر من مكتب التحقيقات الفيدرالي يجب أن يتسبب في تغيير سلوكه، حيث أن القضايا آخذة في الازدياد”.
أكد Aviram Jenik ، رئيس Apona Security ، وهي شركة لأمن الكود المصدري في روزفيل ، كاليفورنيا، أن سحب العصير “شائع للغاية”.
قال لـ TechNewsWorld: “ليس لدينا أرقام لأن الأجهزة تميل إلى أن تكون في أماكن لا يمكث فيها الأشخاص طويلًا، لذلك من السهل وضع جهاز مارق ثم استعادته”.
وأضاف: “لقد تم ذلك منذ سنوات، وظهور محطات الشحن المصابة بالبرامج الضارة يكاد يكون منتظمًا”.
وقال: “كلما أصبح الشحن أكثر تعقيدًا – بمعنى أن البيانات تنتقل على نفس الكابلات التي تحمل شحنة – سيزداد الأمر سوءًا”. “عندما يكون الهدف ذو قيمة أعلى – على سبيل المثال، EV مقابل هاتف محمول – ستكون المخاطر أكبر.”
وأضاف جينيك أن التطور المستقبلي الآخر سيكون الشحن اللاسلكي، والذي سيسمح للمهاجمين بتنفيذ هجوم دون أن يرى أي شخص الجهاز المادي المستخدم في الاختراق.
مشكلة بالاتصال في اتجاهين
من المرجح أن يحدث اقتحام العصير في المناطق التي يرتادها الأشخاص محل الاهتمام – السياسيون أو العاملون في وكالات الاستخبارات، كما أكد أندرو بارات، مدير إدارة الحلول والتحقيقات في شركة Coalfire ، وهي شركة تقدم خدمات استشارية للأمن السيبراني مقرها وستمنستر ، كولورادو.
وقال لموقع TechNewsWorld: “لكي يكون هجوم سحب العصير فعالًا، يجب أن يقدم حمولة متطورة للغاية يمكنها تجاوز الإجراءات الأمنية العامة للهاتف”.
وتابع: “بصراحة، سأكون أكثر قلقًا بشأن استخدام المنافذ بكثافة لدرجة أنها ستؤدي إلى إتلاف سلكي أو مقبس الهاتف.”
يستغل الاستيلاء على العصير تقنية USB لأغراض ضارة. “المشكلة هي أن منافذ USB تسمح بالاتصال ثنائي الاتجاه، ليس فقط لشحن الطاقة، ولكن أيضًا لنقل البيانات. يوضح روجر غرايمز ، المبشر الدفاعي في KnowBe4، وهو مزود تدريب للتوعية الأمنية في كليرووتر بولاية فلوريدا، أن هذه هي الطريقة التي يمكن لجهاز USB الخاص بك أن يرسل بها الصور والبيانات الأخرى عند توصيله.
قال لـ TechNewsWorld: “لم يتم تصميم منفذ USB أبدًا لمنع الأوامر الخبيثة المتقدمة المرسلة عبر قناة البيانات”. “تم إجراء العديد من التحسينات الأمنية على منفذ USB على مر السنين، ولكن لا تزال هناك طرق إضافية للهجوم، وتسمح معظم الأجهزة التي تدعم USB لمنفذ الشحن بإعلان نفسه إصدارًا قديمًا لمعيار منفذ USB، لذا فإن بعض لم تعد ميزات الحماية الأحدث متوفرة “.
هل ستكون المركبات الكهربائية التالية؟
حذر جيه تي كيتنغ ، نائب الرئيس الأول للمبادرات الإستراتيجية في Zimperium ، مزود حلول أمان الهاتف المحمول في دالاس، المستهلكين ليكونوا حذرين من الحلول المجانية التي تعتبر أنفسهم خدمات “عامة”.
قال لـ TechNewsWorld: “عندما يخدع المتسللون الأشخاص لاستخدام شبكات Wi-Fi ومحطات الطاقة المزيفة، يمكنهم اختراق الأجهزة وتثبيت البرامج الضارة وبرامج التجسس وسرقة البيانات”.
وتابع: “سيستمر هذا الاتجاه ويتطور مع اتصال المزيد والمزيد من الناس بمحطات شحن المركبات الكهربائية لسياراتهم الكهربائية”. “من خلال اختراق محطة شحن المركبات الكهربائية، يمكن للمهاجمين إحداث فوضى من خلال سرقة معلومات الدفع أو عن طريق إجراء مجموعة متنوعة من برامج الفدية من خلال تعطيل المحطات ومنع الشحن”.
أشار Barratt من شركة Coalfire إلى أن محطات شحن المركبات الكهربائية كانت مصدر قلق لبعض الوقت، لكن المشكلات كانت تتعلق بسرقة الرسوم أو الحصول على استخدام مجاني للمحطات.
قال: “على المدى الطويل”، “أظن أن هناك قلقًا من أننا سنستمر في رؤية المزيد من الهجمات ضد أجهزة الشحن هذه مع انتقال العالم إلى أجهزة الشحن الكهربائية.”
وتابع: “عندما كانت لدينا هواتف عمومية، كانت هناك هجمات ضدهم”. “هناك هجمات منتظمة ضد أجهزة الصراف الآلي ومضخات الغاز. أي شيء يمكن الاستغناء فيه عن القيمة في بيئة غير خاضعة للرقابة، هناك إمكانية للمكافأة على اللص الممكّن عبر الإنترنت للاستفادة منه “.
تجنب الوقوع ضحية لصيد العصير
منذ أن قدم ماركوس ورولي للعالم طريقة سحب العصير، تحسنت ظروف المهاجمين. تمت إضافة الاتصال اللاسلكي إلى منافذ الشحن، على سبيل المثال.
وأشار ماركوس: “عندما فعلنا هذا لأول مرة، كان لدينا كمبيوتر محمول كامل مخبأ في محطة الشحن، وكان يقوم بالكثير من العمل”. “مقدار قوة الحوسبة للقيام بنفس الشيء الآن أقل بكثير.”
مكتب التحقيقات الفدرالي ليس وكالة الأبجدية الوحيدة التي دقت ناقوس الخطر بشأن سرقة العصير. وقد حذرت لجنة الاتصالات الفيدرالية، في الماضي، المستهلكين أيضًا من هذه الممارسة. لتجنب الوقوع ضحية لآلات صنع العصير، توصي بما يلي:
- تجنب استخدام محطة شحن USB. استخدم مقبس طاقة تيار متردد بدلاً من ذلك.
- عند السفر، أحضر معك مكيف الهواء وشواحن السيارة وكابلات USB.
- احمل شاحنًا محمولًا أو بطارية خارجية.
- ضع في اعتبارك حمل كابل شحن فقط، والذي يمنع البيانات من الإرسال أو الاستقبال أثناء الشحن، من مورد موثوق.
المصدر: technewsworld
قد يهمك:
