Ładujesz komórkę przez USB? Możesz stracić dane

Ładowanie urządzeń mobilnych przy użyciu przewodu USB podłączonego do komputera może być niebezpieczne – alarmują eksperci z Kaspersky Lab. Przy użyciu zwykłego komputera PC oraz standardowego kabla USB, a także zestawu standardowych poleceń dostępnych w internecie, zdołali oni zainstalować w smartfonie specjalną aplikację. Innymi słowy – włamali się do komórki bez wykorzystania do tego celu szkodliwego oprogramowania.

Badacze Kaspersky’ego zainteresowali się tym, czy podłączanie telefonu do publicznej stacji ładowania (np. na lotnisku, w kawiarni lub galerii handlowej) może nieść za sobą jakieś zagrożenia. Próbowali znaleźć odpowiedź na pytanie, czy my, użytkownicy, myślimy o tym, czy nasz smartfon przekazuje jakieś dane w takiej stacji ładowania?

Sprawdzono wiele smartfonów działających pod różnymi wersjami systemu Android i iOS. Wyniki testów pokazały, że urządzenia mobilne, podczas tzw. „uścisku dłoni”, czyli procesu „witania się” urządzenia i komputer, ujawniają całą litanię danych: nazwę urządzenia, producenta, typ, numer seryjny, informacje dotyczące oprogramowania układowego (tzw. firmware), informacje dotyczące systemu operacyjnego i systemu plików, listę plików oraz identyfikator procesora. Ilość danych wysłanych podczas „uścisku dłoni” różni się w zależności od urządzenia mobilnego oraz komputera, ale każdy smartfon przesyła ten sam podstawowy zestaw informacji, łącznie z nazwą urządzenia, producenta, numerem seryjnym itd.

Już dwa lata temu, podczas konferencji Black Hat, przedstawiono koncepcję zakładającą, że telefon komórkowy może zostać zainfekowany szkodliwym oprogramowaniem w chwilę po podłączeniu go do fałszywej stacji ładowania. Teraz, po dwóch latach od ogłoszenia tej koncepcji, eksperci z Kaspersky Lab odtworzyli eksperyment bez użycia specjalistycznej wiedzy i narzędzi. Przy użyciu zwykłego komputera PC oraz standardowego kabla USB, wyposażeni w zestaw poleceń dostępnych w internecie, zdołali ukradkiem zainstalować w smartfonie aplikację. Oznacza to włamanie się do smartfona bez wykorzystania do tego celu szkodliwego oprogramowania.

– To niezwykłe, że niemal dwa lata od opublikowania wyników badania pokazującego, w jaki sposób można zainfekować telefon za pośrednictwem połączenia USB, koncepcja ta nadal jest skuteczna – dziwi się Aleksiej Komarow, badacz ds. bezpieczeństwa IT, Kaspersky Lab. – Zagrożenia bezpieczeństwa są w tym przypadku oczywiste: jeśli jesteś regularnym użytkownikiem, można cię wyśledzić za pośrednictwem identyfikatora twojego urządzenia; na twoim telefonie można ukradkiem zainstalować różne szkodliwe programy, od aplikacji reklamowych po szkodniki szyfrujące dane i żądające okupu; a jeśli jesteś osobą decyzyjną w dużej firmie, możesz łatwo stać się celem profesjonalnych cyberprzestępców. Nie trzeba posiadać dużych umiejętności, aby przeprowadzić takie ataki. Wszystkie informacje można znaleźć w internecie – podsumowuje.

Eksperci z Kaspersky Lab radzą, aby korzystać tylko z zaufanych stacji ładowania USB i komputerów, a także chronić telefon za pomocą hasła lub innej metody, takiej jak skan odcisku palca. I nie odblokowywać go podczas ładowania.