Logotipo de Zephyrnet

Inteligencia de datos generativa

Ciberseguridad

El FBI y la FCC advierten sobre el "juicejacking", pero ¿qué tan útiles son sus consejos?

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 365
by Paul patito

Si nunca escuchó la palabra en la jerga de seguridad cibernética "juicejacking" hasta los últimos días (o, de hecho, si nunca la escuchó hasta que abrió este artículo), no entre en pánico al respecto.

No estás fuera de contacto.

Aquí en Naked Security, sabíamos lo que significaba, no tanto porque es un peligro claro y público, sino porque recordó la palabra de hace un tiempo… hace cerca de 12 años, de hecho, cuando escribimos por primera vez una serie de consejos al respecto:

En 2011, el término era (por lo que sabemos) completamente nuevo, escrito de diversas formas como jugo de jugo, toma de jugo, y, correctamente, en nuestra opinión, simplemente como robo de jugo, y fue acuñado para describir una técnica de ciberataque que acababa de ser demostrado en la conferencia Black Hat 2011 en Las Vegas.

Extracción de jugo explicada

La idea es simple: personas en la carretera, especialmente en los aeropuertos, donde su propio cargador de teléfono está aplastado en el equipaje de mano y es demasiado problemático para extraerlo, o está empacado en la bodega de carga de un avión donde no se puede cargar. ser accedido, a menudo son golpeados por la ansiedad de carga.

La ansiedad por la carga del teléfono, que se convirtió en una cosa por primera vez en las décadas de 1990 y 2000, es el equivalente de la ansiedad por la autonomía de los vehículos eléctricos en la actualidad, donde no puede resistir exprimir un poco más de energía en este momento, incluso si solo tiene unos pocos. minutos de sobra, en caso de que tenga un problema más adelante en su viaje.

Pero los teléfonos se cargan con cables USB, que están diseñados específicamente para que puedan transportar energía y datos.

Entonces, si conecta su teléfono a una toma USB proporcionada por otra persona, ¿cómo puede estar seguro de que solo está proporcionando energía de carga y no está tratando en secreto de negociar una conexión de datos con su dispositivo al mismo tiempo?

¿Qué sucede si hay una computadora en el otro extremo que no solo suministra 5 voltios de CC, sino que también intenta interactuar furtivamente con su teléfono a sus espaldas?

La respuesta simple es que no puedes estar seguro, especialmente si es 2011 y estás en la conferencia Black Hat asistiendo a una charla titulada Mactans: Inyección de malware en dispositivos iOS a través de cargadores maliciosos.

La palabra Mactanes estaba destinado a ser un BWAIN, o Error con un nombre impresionante (Se deriva de latrodectus mactans, la pequeña pero tóxica araña viuda negra), pero "juicejacking" fue el apodo que se quedó.

Curiosamente, Apple respondió a la demostración de robo de jugo con una cambio simple pero efectivo en iOS, que es bastante similar a cómo reacciona iOS hoy cuando está conectado a través de USB a un dispositivo aún desconocido:

Ventana emergente "Confiar o no" introducida en iOS 7, luego de una demostración pública de robo de jugo.

Android tampoco permite que computadoras nunca antes vistas intercambien archivos con su teléfono hasta que haya presionado su aprobación en su propio teléfono, después de desbloquearlo.

¿El juicejacking sigue siendo una cosa?

Entonces, en teoría, ya no es fácil que te roben el jugo, porque tanto Apple como Google han adoptado valores predeterminados que eliminan el elemento sorpresa de la ecuación.

Podrías ser engañado, engañado, engatusado, o lo que sea, para aceptar confiar en un dispositivo que luego desearías no haber…

…pero, al menos en teoría, la captura de datos no puede ocurrir a sus espaldas sin que primero vea una solicitud visible y luego responda usted mismo tocando un botón o eligiendo una opción de menú para habilitarla.

Por lo tanto, nos sorprendió un poco ver que tanto el FCC de EE. UU. (la Comisión Federal de Comunicaciones) y la FBI (la Oficina Federal de Investigaciones) advirtiendo públicamente a la gente en los últimos días sobre los riesgos del robo de jugo.

En palabras de la FCC:

Si su batería se está agotando, tenga en cuenta que recargar su dispositivo electrónico en estaciones de carga con puertos USB gratuitos, como las que se encuentran en aeropuertos y vestíbulos de hoteles, podría tener consecuencias desafortunadas. Podrías convertirte en víctima del "juice jacking", otra táctica más de robo cibernético.

Los expertos en seguridad cibernética advierten que los delincuentes pueden cargar malware en las estaciones de carga USB públicas para acceder maliciosamente a los dispositivos electrónicos mientras se cargan. El malware instalado a través de un puerto USB corrupto puede bloquear un dispositivo o exportar datos personales y contraseñas directamente al perpetrador. Luego, los delincuentes pueden usar esa información para acceder a cuentas en línea o venderla a otros delincuentes.

Y según el FBI en Denver, Colorado:

Los malos actores han descubierto formas de usar puertos USB públicos para introducir malware y software de monitoreo en los dispositivos.

¿Qué tan segura es la fuente de alimentación?

No se equivoque, le recomendamos que use su propio cargador siempre que pueda, y que no confíe en conectores o cables USB desconocidos, sobre todo porque no tiene idea de cuán seguro o confiable puede ser el convertidor de voltaje en el circuito de carga.

No sabe si obtendrá una CC de 5 V bien regulada o un pico de voltaje que dañará su dispositivo.

Un voltaje destructivo podría llegar por accidente, por ejemplo, debido a un circuito de carga económico y alegre que no cumple con las normas de seguridad y que ahorró algunos centavos en los costos de fabricación al no seguir los estándares adecuados para mantener separadas las partes principales y las partes de bajo voltaje del circuito.

O un pico de voltaje no autorizado podría llegar a propósito: los lectores a largo plazo de Naked Security recordarán un dispositivo que parecía una memoria USB pero que se denominó Killer USB, sobre el que escribimos en 2017:

Al usar el voltaje y la corriente USB modestos para cargar un banco de capacitores ocultos dentro del dispositivo, rápidamente alcanzó el punto en el que podría liberar un pico de 240 V en su computadora portátil o teléfono, probablemente freírlo (y tal vez darle una desagradable descarga). si lo estaba sosteniendo o tocándolo en ese momento).

¿Qué tan seguros están sus datos?

Pero, ¿qué pasa con los riesgos de que un cargador absorba sus datos de forma subrepticia y que también actuó como una computadora central e intentó tomar el control de su dispositivo sin permiso?

¿Siguen vigentes las mejoras de seguridad introducidas a raíz de la herramienta de robo de jugo de Mactans en 2011?

Creemos que sí, basándonos en conectar un iPhone (iOS 16) y un Google Pixel (Android 13) a una Mac (macOS 13 Ventura) y una computadora portátil con Windows 11 (versión 2022H2).

En primer lugar, ninguno de los teléfonos se conectaría automáticamente a macOS o Windows cuando se enchufaba por primera vez, ya sea que estuviera bloqueado o desbloqueado.

Al conectar el iPhone a Windows 11, se nos pidió que aprobáramos la conexión cada vez antes de que pudiéramos ver el contenido a través de la computadora portátil, lo que requería que el teléfono estuviera desbloqueado para acceder a la ventana emergente de aprobación:

Ventana emergente cada vez que conectamos el iPhone a una computadora portátil con Windows 11.

Conectar el iPhone a nuestra Mac por primera vez requería que aceptáramos confiar en la computadora en el otro extremo, lo que obviamente requería desbloquear el teléfono (aunque una vez que acordamos confiar en la Mac, el teléfono aparecía inmediatamente en la Mac). aplicación Finder cuando se conecte en el futuro, incluso si estaba bloqueada en ese momento):

Moderna ventana emergente de "confianza" cuando nuestra Mac se encontró por primera vez con nuestro iPhone.

Nuestro teléfono de Google necesitaba que se le dijera que cambiara su conexión USB de No hay datos modo cada vez que lo enchufamos, lo que significaba abrir el Ajustes aplicación, que requería que el dispositivo se desbloqueara primero:

Teléfono Android de Google después de la conexión a Windows 11 o macOS 13.

Las computadoras anfitrionas pudieron ver que los teléfonos estaban conectados cada vez que estaban enchufados, lo que les dio acceso al nombre del dispositivo y a varios identificadores de hardware, que es una pequeña cantidad de fuga de datos que debe tener en cuenta, pero los datos en el el teléfono en sí aparentemente estaba fuera de los límites.

Nuestro teléfono de Google se comportó de la misma manera cuando lo enchufamos por segunda, tercera o sucesivas veces, identificando que había un dispositivo conectado, pero configurándolo automáticamente en No hay datos modo como se muestra arriba, haciendo que sus archivos sean invisibles de forma predeterminada tanto para macOS como para Windows.

Desconfiar de las computadoras en tu iPhone

Por cierto, una falla molesta de iOS (lo consideramos un error, pero eso es más una opinión que un hecho) es que no hay menú en el iOS. Ajustes aplicación donde puede ver una lista de computadoras en las que ha confiado anteriormente y revocar la confianza para dispositivos individuales.

Se espera que recuerde en qué computadoras ha confiado, y solo puede revocar esa confianza en una forma de todo o nada.

Para desconfiar de cualquier computadora individual, debe desconfiar de todas, a través de la no-de ninguna manera-obvia y profundamente anidada Ajustes > General > Transferir o reiniciar iPhone > Restablecer ubicación y privacidad pantalla, bajo un encabezado engañoso que sugiere que estas opciones solo son útiles cuando compras un nuevo iPhone:

Opción de iOS difícil de encontrar para computadoras poco confiables a las que se ha conectado antes.

¿Qué hacer?

  • Evite los conectores o cables de carga desconocidos si puede. Incluso una estación de carga instalada de buena fe podría no tener la calidad eléctrica y la regulación de voltaje que le gustaría. Evite también los cargadores de red baratos, si puede. Lleve consigo una marca en la que confíe o cárguela desde su propia computadora portátil.
  • Bloquee o apague su teléfono antes de conectarlo a un cargador o computadora. Esto minimiza el riesgo de abrir archivos accidentalmente en una estación de carga no autorizada y garantiza que el dispositivo se bloquee si lo agarran y lo roban en una unidad de carga multiusuario.
  • Considere desconfiar de todos los dispositivos en su iPhone antes de arriesgarse a una computadora o cargador desconocido. Esto garantiza que no haya dispositivos de confianza olvidados que pueda haber configurado por error en un viaje anterior.
  • Considere adquirir un cable USB de solo alimentación o un enchufe adaptador. Los enchufes USB-A "sin datos" son fáciles de detectar porque tienen solo dos conectores eléctricos metálicos en su carcasa, en los bordes exteriores del zócalo, en lugar de cuatro conectores a lo ancho. Tenga en cuenta que los conectores internos no siempre son evidentes de inmediato porque no llegan directamente al borde del zócalo, por lo que los conectores de alimentación hacen contacto primero.
Luz de bicicleta de solo alimentación Conector USB-A con conectores metálicos exteriores únicamente.
Los rectángulos rosas indican aproximadamente dónde estarían los conectores de datos.
punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.