FBI e FCC alertam sobre “Juicejacking” – mas quão útil é o seu conselho?

Views: 154
0 0
Read Time:9 Minute, 14 Second

Se você nunca ouviu a palavra de jargão de segurança cibernética “juicejacking” até os últimos dias (ou, de fato, se você nunca a ouviu até abrir este artigo), não entre em pânico com isso.

Você não está fora de contato.

Aqui na Naked Security, sabíamos o que isso significava, não tanto porque é um perigo claro e público, mas porque nos lembramos da palavra de um tempo atrás… Há cerca de 12 anos, na verdade, quando escrevemos pela primeira vez uma série de dicas sobre isso:

Em 2011, o termo era (até onde podemos dizer) novo, escrito variadamente como juice jacking, juice-jacking e, corretamente, em nossa opinião, simplesmente como juicejacking, e foi cunhado para descrever uma técnica de ataque cibernético que acabara de ser demonstrada na conferência Black Hat 2011 em Las Vegas.

Juicejacking explicado

A ideia é simples: as pessoas na estrada, especialmente nos aeroportos, onde seu próprio carregador de telefone é esmagado no fundo de sua bagagem de mão e muito problemático para extrair, ou amontoado no porão de carga de um avião onde não pode ser acessado, muitas vezes são atingidos pela ansiedade de carga.

A ansiedade de carga do telefone, que se tornou uma coisa na década de 1990 e 2000, é o equivalente à ansiedade de alcance do veículo elétrico hoje, onde você não pode resistir a se conectar para um pouco mais de suco agora, mesmo que tenha apenas alguns minutos de sobra, caso você encontre um obstáculo mais tarde em sua jornada.

Mas os telefones carregam através de cabos USB, que são projetados especificamente para que possam transportar energia e dados.

Então, se você conectar seu telefone a uma tomada USB fornecida por outra pessoa, como você pode ter certeza de que ele está apenas fornecendo energia de carregamento e não tentando secretamente negociar uma conexão de dados com seu dispositivo ao mesmo tempo?

O que há se houver um computador na outra extremidade que não está apenas fornecendo 5 volts DC, mas também tentando sorrateiramente interagir com seu telefone pelas costas?

A resposta simples é que você não pode ter certeza, especialmente se é 2011 e você está na conferência Black Hat participando de uma palestra intitulada Mactans: Injetando malware em dispositivos iOS através de carregadores maliciosos.

A palavra Mactans foi feita para ser um BWAIN, ou Bug With An Impressive Name (é derivada do nome zoológico latrodectus mactans, a pequena, mas tóxica aranha viúva negra), mas “juicejacking” era o apelido que pegava.

Curiosamente, a Apple respondeu à demonstração de juicejacking com uma mudança simples, mas eficaz, no iOS, que é muito próxima de como o iOS reage hoje quando está conectado via USB a um dispositivo ainda desconhecido:

Pop-up “Confie ou não” introduzido no iOS 7, após uma demonstração pública de juicejacking.

O Android também não permite que computadores inéditos troquem arquivos com seu telefone até que você tenha concordado em fazê-lo por meio de uma configuração de menu no seu dispositivo.

O juicejacking ainda é uma coisa?

Em teoria, então, você não pode mais ser facilmente enganado, porque tanto a Apple quanto o Google adotaram padrões que tiram o elemento surpresa da equação.

Você pode ser enganado, ou enganado, ou persuadido, ou o que quer que seja, a concordar em confiar em um dispositivo que você mais tarde gostaria de não ter …

… mas, pelo menos em teoria, a captura de dados não pode acontecer pelas suas costas sem que você primeiro veja uma solicitação visível e, em seguida, responda a ela você mesmo tocando em um botão ou escolhendo uma opção de menu para habilitá-la.

Ficamos, portanto, um pouco surpresos ao ver a FCC dos EUA (a Comissão Federal de Comunicações) e o FBI (o Federal Bureau of Investigation) alertando publicamente as pessoas nos últimos dias sobre os riscos de juicejacking.

Nas palavras da FCC:

Se a bateria estiver acabando, esteja ciente de que o armazenamento de seu dispositivo eletrônico em estações de carregamento de porta USB gratuitas, como as encontradas em aeroportos e lobbies de hotéis, pode ter consequências infelizes. Você pode se tornar uma vítima de “suco jacking”, mais uma tática de roubo cibernético.

Especialistas em segurança cibernética alertam que os agentes mal-intencionados podem carregar malware em estações de carregamento USB públicas para acessar maliciosamente dispositivos eletrônicos enquanto eles estão sendo carregados. O malware instalado através de uma porta USB corrompida pode bloquear um dispositivo ou exportar dados pessoais e senhas diretamente para o perpetrador. Os criminosos podem então usar essas informações para acessar contas on-line ou vendê-las a outros mal-intencionados.

de acordo com o FBI em Denver, Colorado:

Os agentes mal-intencionados descobriram maneiras de usar portas USB públicas para introduzir malware e software de monitoramento nos dispositivos.

Quão segura é a fonte de alimentação?

Não se engane, aconselhamo-lo a usar o seu próprio carregador sempre que puder, e a não confiar em conectores ou cabos USB desconhecidos, até porque não tem ideia de quão seguro ou fiável pode ser o conversor de tensão no circuito de carregamento.

Você não sabe se vai ter um 5V DC bem regulado ou um pico de tensão que prejudique seu dispositivo.

Uma tensão destrutiva pode chegar por acidente, por exemplo, devido a um circuito de carregamento barato e alegre e não compatível com a segurança que economizou alguns centavos nos custos de fabricação ao não seguir ilegalmente os padrões adequados para manter as partes da rede e as partes de baixa tensão do circuito separadas.

Ou um pico de tensão desonesto poderia chegar de propósito.

Os leitores de longo prazo do Naked Security se lembrarão de um dispositivo que parecia um pendrive, mas foi apelidado de USB Killer, sobre o qual escrevemos em 2017:

Ao usar a modesta tensão e corrente USB para carregar um banco de capacitores escondidos dentro do dispositivo, ele rapidamente chegou ao ponto em que poderia liberar um pico de 240V de volta ao seu laptop ou telefone, provavelmente fritando-o (e talvez dando-lhe um choque desagradável se você estivesse segurando ou tocando-o no momento).

Quão seguros são os seus dados?

Mas e quanto aos riscos de obter seus dados arrastados sub-repticiamente por um carregador que também agiu como um computador host e tentou assumir o controle do seu dispositivo sem permissão?

As melhorias de segurança introduzidas na sequência da ferramenta de juicejacking Mactans em 2011 ainda se mantêm?

Achamos que sim, com base na conexão de um iPhone (iOS 16) e um Google Pixel (Android 13) em um Mac (macOS 13 Ventura) e um laptop Windows 11 (compilação 2022H2).

Em primeiro lugar, nenhum telefone se conectaria automaticamente ao macOS ou ao Windows quando conectado pela primeira vez, seja bloqueado ou desbloqueado.

Ao conectar o iPhone ao Windows 11, fomos solicitados a aprovar a conexão todas as vezes antes que pudéssemos visualizar o conteúdo através do laptop, o que exigia que o telefone fosse desbloqueado para obter o pop-up de aprovação:

Pop-up sempre que conectamos o iPhone a um laptop Windows 11.

Conectar o iPhone ao nosso Mac pela primeira vez exigiu que concordássemos em confiar no computador do outro lado, o que obviamente exigia o desbloqueio do telefone (embora uma vez que tivéssemos concordado em confiar no Mac, o telefone apareceria imediatamente no aplicativo Finder do Mac quando conectado no futuro, mesmo que estivesse bloqueado no momento):

Pop-up moderno de “confiança” quando o nosso Mac conheceu o nosso iPhone.

Nosso telefone do Google precisava ser instruído a alternar sua conexão USB para fora do modo Sem dados toda vez que o conectávamos, o que significava abrir o aplicativo Configurações, que exigia que o dispositivo fosse desbloqueado primeiro:

Google Android phone após a conexão com o Windows 11 ou macOS 13.
O modo PTP finge que seu telefone é uma câmera e disponibiliza suas imagens. A Transferência de Arquivos fornece acesso mais geral aos arquivos no dispositivo.

Os computadores host podiam ver que os telefones estavam conectados sempre que estavam conectados, dando-lhes acesso ao nome do dispositivo e vários identificadores de hardware, o que é uma pequena quantidade de vazamento de dados que você deve estar ciente, mas os dados no próprio telefone estavam aparentemente fora dos limites.

Nosso telefone do Google se comportou da mesma maneira quando conectado pela segunda, terceira ou subsequente vez, identificando que havia um dispositivo conectado, mas configurando-o automaticamente no modo Sem dados, como mostrado acima, tornando seus arquivos invisíveis por padrão tanto para o macOS quanto para o Windows.

Desconfiar de computadores no seu iPhone

A propósito, um erro irritante do iOS (consideramos um bug, mas isso é uma opinião e não um fato) é que não há menu no aplicativo Configurações do iOS onde você pode visualizar uma lista de computadores em que você confiava anteriormente e revogar a confiança para dispositivos individuais.

Espera-se que você se lembre de quais computadores você confiou e só pode revogar essa confiança de uma maneira de tudo ou nada.

Para desconfiar de qualquer computador individual, você tem que desconfiar de todos eles, através da tela Configurações não óbvias e profundamente aninhadas > Transferência de > Geral ou Redefinir iPhone > Redefinir Localização e Privacidade, sob um título enganoso que sugere que essas opções só são úteis quando você compra um novo iPhone:

Opção iOS difícil de encontrar para computadores não confiáveis aos quais você se conectou antes.

O que fazer?

  • Evite conectores ou cabos de carregamento desconhecidos, se puder. Mesmo uma estação de carregamento configurada de boa fé pode não ter a qualidade elétrica e a regulação de tensão que você gostaria. Evite carregadores de rede baratos também, se puder. Traga uma marca em que você confia junto com você ou carregue a partir do seu próprio laptop.
  • Bloqueie ou desligue o telefone antes de conectá-lo a um carregador ou computador. Isso minimiza o risco de abrir acidentalmente arquivos para uma estação de carregamento desonestos e garante que o dispositivo seja bloqueado se for agarrado e roubado em uma unidade de carregamento multiusuário.
  • Considere não confiar em todos os dispositivos do seu iPhone antes de arriscar um computador ou carregador desconhecido. Isso garante que não haja dispositivos confiáveis esquecidos que você possa ter configurado por engano em uma viagem anterior.
  • Considere adquirir um cabo USB somente de energia ou um soquete adaptador. Os plugues USB-A “sem dados” são fáceis de detectar porque têm apenas dois conectores elétricos metálicos em sua caixa, nas bordas externas do soquete, em vez de quatro conectores em toda a largura. Observe que os conectores internos nem sempre são imediatamente óbvios porque eles não vêm direto para a borda do soquete – é assim que os conectores de energia fazem contato primeiro.
Conector USB-A de luz de bicicleta somente com conectores metálicos externos apenas.
Os retângulos cor-de-rosa indicam aproximadamente onde estariam os conectores de dados.

FONTE: NAKED SECURITY

POSTS RELACIONADOS

Categorias

Posts Recentes

Instagram Youtube Facebook Twitter Linkedin

Feito por VP DIGITAL