หากคุณไม่เคยได้ยินศัพท์เฉพาะด้านความปลอดภัยในโลกไซเบอร์ว่า "juicejacking" จนกระทั่งสองสามวันที่ผ่านมา (หรือจริงๆ แล้ว ถ้าคุณไม่เคยได้ยินเลยจนกระทั่งคุณเปิดบทความนี้) ก็อย่าเพิ่งตื่นตระหนกกับเรื่องนี้
คุณไม่ได้ขาดการติดต่อ
ที่ Naked Security เรารู้ว่ามันหมายถึงอะไร ไม่มากเพราะมันเป็นภัยสาธารณะอย่างชัดเจน แต่เรา จำคำได้ เมื่อไม่นานมานี้… เกือบ 12 ปีที่แล้ว อันที่จริง เมื่อเราเขียนคำแนะนำเกี่ยวกับเรื่องนี้เป็นครั้งแรก:
ย้อนกลับไปในปี 2011 คำนี้ (เท่าที่เราบอกได้) เป็นชื่อใหม่ เขียนได้หลากหลาย เช่น คั้นน้ำผลไม้, คั้นน้ำผลไม้และถูกต้องตามความเห็นของเรา คั้นน้ำผลไม้และได้รับการประกาศเกียรติคุณให้อธิบายถึงเทคนิคการโจมตีทางไซเบอร์ที่เพิ่งเกิดขึ้น แสดงให้เห็นถึง ในการประชุม Black Hat 2011 ที่ลาสเวกัส
อธิบายการคั้นน้ำผลไม้
แนวคิดง่ายๆ ก็คือ ผู้คนบนท้องถนน โดยเฉพาะที่สนามบิน ซึ่งที่ชาร์จโทรศัพท์ของตัวเองนั้นไม่ได้อยู่ลึกในกระเป๋าถือขึ้นเครื่องและยากเกินกว่าจะดึงออก หรือบรรจุลงในที่เก็บสัมภาระของเครื่องบินซึ่งไม่สามารถเอาออกได้ เข้าถึงได้ มักจะถูกโจมตีด้วยความวิตกกังวล
ความกังวลเรื่องค่าโทรศัพท์ซึ่งเกิดขึ้นครั้งแรกในทศวรรษที่ 1990 และ 2000 นั้นเทียบเท่ากับความกังวลเกี่ยวกับรถยนต์ไฟฟ้าในปัจจุบัน ซึ่งคุณไม่สามารถต้านทานการบีบน้ำผลไม้เพิ่มได้อีกเล็กน้อยในตอนนี้ แม้ว่าคุณจะมีเพียงเล็กน้อยก็ตาม เผื่อไว้เผื่อไว้เผื่อในกรณีที่คุณเจออุปสรรคในการเดินทางในภายหลัง
แต่โทรศัพท์จะชาร์จผ่านสาย USB ซึ่งออกแบบมาโดยเฉพาะเพื่อให้สามารถจ่ายไฟและข้อมูลได้
ดังนั้น หากคุณเสียบโทรศัพท์เข้ากับเต้าเสียบ USB ที่คนอื่นจัดหาให้ คุณจะแน่ใจได้อย่างไรว่าโทรศัพท์นั้นให้พลังงานเพียงการชาร์จเท่านั้น และไม่พยายามเจรจาการเชื่อมต่อข้อมูลกับอุปกรณ์ของคุณอย่างลับๆ ในเวลาเดียวกัน
จะเกิดอะไรขึ้นถ้ามีคอมพิวเตอร์ที่ปลายอีกด้านที่ไม่เพียงจ่ายไฟ DC 5 โวลต์เท่านั้น แต่ยังพยายามโต้ตอบกับโทรศัพท์ของคุณอย่างลับๆ
คำตอบง่ายๆ ก็คือ คุณไม่แน่ใจ โดยเฉพาะอย่างยิ่งหากเป็นปี 2011 และคุณอยู่ในการประชุม Black Hat เพื่อเข้าร่วมการปราศรัยเรื่อง Mactans: ฉีดมัลแวร์ลงในอุปกรณ์ iOS ผ่านเครื่องชาร์จที่เป็นอันตราย.
คำ แม็กแทนส์ ตั้งใจจะเป็น BWAIN หรือ ข้อผิดพลาดด้วยชื่อที่น่าประทับใจ (มาจาก latrodectus mactans แมงมุมแม่ม่ายดำตัวเล็กแต่มีพิษ) แต่คำว่า "คั้นน้ำ" เป็นชื่อเล่นที่ติดอยู่
ที่น่าสนใจคือ Apple ตอบสนองต่อการสาธิตการคั้นน้ำผลไม้ด้วย a การเปลี่ยนแปลงที่เรียบง่ายแต่ได้ผล ใน iOS ซึ่งค่อนข้างใกล้เคียงกับที่ iOS ตอบสนองในวันนี้เมื่อเชื่อมต่อผ่าน USB กับอุปกรณ์ที่ยังไม่รู้จัก:
Android ก็เช่นกัน ไม่อนุญาตให้คอมพิวเตอร์ที่ไม่เคยเห็นมาก่อนแลกเปลี่ยนไฟล์กับโทรศัพท์ของคุณ จนกว่าคุณจะแตะการอนุมัติบนโทรศัพท์ของคุณเอง หลังจากปลดล็อกแล้ว
การคั้นน้ำผลไม้ยังคงเป็นเรื่องอยู่หรือไม่?
ตามทฤษฎีแล้ว คุณจะไม่โดนคั้นน้ำได้ง่ายๆ อีกแล้ว เพราะทั้ง Apple และ Google ต่างใช้ค่าเริ่มต้นที่ตัดองค์ประกอบที่น่าประหลาดใจออกไปจากสมการ
คุณอาจถูกหลอก ถูกดูด หรือชักจูง หรืออะไรก็ตามให้ยอมเชื่ออุปกรณ์ที่คุณไม่ต้องการในภายหลัง...
…แต่ในทางทฤษฎีแล้ว การดึงข้อมูลไม่สามารถเกิดขึ้นได้โดยที่คุณไม่เห็นคำขอที่มองเห็นได้ก่อน จากนั้นจึงตอบกลับด้วยตนเองด้วยการแตะปุ่มหรือเลือกตัวเลือกเมนูเพื่อเปิดใช้งาน
เราจึงรู้สึกประหลาดใจเล็กน้อยที่ได้เห็นทั้ง FCC ของสหรัฐฯ (คณะกรรมการกลางกำกับดูแลกิจการสื่อสาร) และ เอฟบีไอ (สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา) ประกาศเตือนผู้คนอย่างเปิดเผยในช่วงไม่กี่วันที่ผ่านมาเกี่ยวกับความเสี่ยงของการคั้นน้ำผลไม้
ตัว Vortex Indicator ได้ถูกนำเสนอลงในนิตยสาร คำพูดของ FCC:
หากแบตเตอรี่ของคุณเหลือน้อย โปรดทราบว่าการชาร์จอุปกรณ์อิเล็กทรอนิกส์ของคุณที่สถานีชาร์จพอร์ต USB ฟรี เช่น ที่พบในสนามบินและล็อบบี้โรงแรม อาจส่งผลร้ายตามมา คุณอาจตกเป็นเหยื่อของ “การขโมยของ” ซึ่งเป็นอีกกลยุทธ์หนึ่งในการโจรกรรมทางไซเบอร์
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เตือนว่าผู้ไม่ประสงค์ดีสามารถโหลดมัลแวร์ไปยังแท่นชาร์จ USB สาธารณะเพื่อเข้าถึงอุปกรณ์อิเล็กทรอนิกส์โดยประสงค์ร้ายในขณะที่กำลังชาร์จ มัลแวร์ที่ติดตั้งผ่านพอร์ต USB ที่เสียหายสามารถล็อกอุปกรณ์หรือส่งออกข้อมูลส่วนตัวและรหัสผ่านไปยังผู้กระทำความผิดได้โดยตรง จากนั้นอาชญากรสามารถใช้ข้อมูลนั้นเพื่อเข้าถึงบัญชีออนไลน์หรือขายให้กับผู้ไม่ประสงค์ดีรายอื่น
และ ตามเอฟบีไอในเดนเวอร์, โคโลราโด:
ผู้ไม่หวังดีได้ค้นพบวิธีใช้พอร์ต USB สาธารณะเพื่อแนะนำมัลแวร์และซอฟต์แวร์ตรวจสอบไปยังอุปกรณ์ต่างๆ
แหล่งจ่ายไฟปลอดภัยแค่ไหน?
อย่าพลาด เราขอแนะนำให้คุณใช้ที่ชาร์จของคุณเองทุกครั้งที่ทำได้ และอย่าพึ่งพาตัวเชื่อมต่อหรือสายเคเบิล USB ที่ไม่รู้จัก เพราะคุณไม่รู้ว่าตัวแปลงแรงดันไฟฟ้าในวงจรการชาร์จนั้นปลอดภัยหรือเชื่อถือได้เพียงใด
คุณไม่รู้ว่ากำลังจะได้รับไฟ 5V DC ที่มีการควบคุมอย่างดี หรือไฟกระชากที่เป็นอันตรายต่ออุปกรณ์ของคุณหรือไม่
แรงดันไฟฟ้าทำลายล้างอาจเกิดขึ้นโดยบังเอิญ เช่น เนื่องจากวงจรชาร์จราคาถูกและร่าเริง ไม่เป็นไปตามข้อกำหนดด้านความปลอดภัย ซึ่งช่วยประหยัดต้นทุนการผลิตได้ไม่กี่เซนต์จากการไม่ทำผิดกฎหมาย ปฏิบัติตามมาตรฐานที่เหมาะสม สำหรับแยกส่วนไฟหลักและส่วนแรงดันต่ำของวงจรออกจากกัน
หรือแรงดันไฟฟ้าอันธพาลอาจมาถึงโดยเจตนา: ผู้อ่าน Naked Security ในระยะยาวจะจำอุปกรณ์ที่ดูเหมือนแท่งเก็บข้อมูล USB แต่ถูกขนานนามว่า Killer USBซึ่งเราเขียนย้อนกลับไปในปี 2017:
ด้วยการใช้แรงดันไฟและกระแสไฟ USB ที่พอเหมาะเพื่อชาร์จแบตเตอรี่ของตัวเก็บประจุที่ซ่อนอยู่ภายในอุปกรณ์ ทำให้ถึงจุดที่สามารถปล่อยกระแสไฟฟ้าแรงสูง 240V กลับเข้าไปในแล็ปท็อปหรือโทรศัพท์ของคุณได้อย่างรวดเร็ว ซึ่งอาจทำให้คุณตกใจได้ หากคุณกำลังถือหรือสัมผัสอยู่ในขณะนั้น)
ข้อมูลของคุณปลอดภัยแค่ไหน?
แต่สิ่งที่เกี่ยวกับความเสี่ยงของการทำให้ข้อมูลของคุณแอบแฝงโดยเครื่องชาร์จที่ทำหน้าที่เป็นโฮสต์คอมพิวเตอร์และพยายามเข้าควบคุมอุปกรณ์ของคุณโดยไม่ได้รับอนุญาต
การปรับปรุงความปลอดภัยที่นำมาใช้หลังจากเครื่องมือคั้นน้ำ Mactans ในปี 2011 ยังคงค้างอยู่หรือไม่
เราคิดว่าทำได้โดยเสียบ iPhone (iOS 16) และ Google Pixel (Android 13) เข้ากับ Mac (macOS 13 Ventura) และแล็ปท็อป Windows 11 (รุ่นปี 2022H2)
ประการแรก โทรศัพท์ทั้งสองเครื่องจะไม่เชื่อมต่อกับ macOS หรือ Windows โดยอัตโนมัติเมื่อเสียบปลั๊กเป็นครั้งแรก ไม่ว่าจะล็อกหรือปลดล็อก
เมื่อเสียบ iPhone เข้ากับ Windows 11 เราถูกขอให้อนุมัติการเชื่อมต่อทุกครั้งก่อนที่เราจะสามารถดูเนื้อหาผ่านแล็ปท็อปได้ ซึ่งจำเป็นต้องปลดล็อคโทรศัพท์เพื่อรับป๊อปอัปการอนุมัติ:
การเสียบ iPhone เข้ากับ Mac ของเราเป็นครั้งแรกทำให้เราต้องตกลงที่จะเชื่อถือคอมพิวเตอร์ที่ปลายอีกด้านหนึ่ง ซึ่งเห็นได้ชัดว่าจำเป็นต้องปลดล็อกโทรศัพท์ (แม้ว่าเมื่อเราตกลงที่จะเชื่อถือ Mac แล้ว โทรศัพท์ก็จะปรากฏใน Mac ทันที แอพ Finder เมื่อเชื่อมต่อในอนาคต แม้ว่าจะถูกล็อคในขณะนั้น):
ต้องแจ้งให้โทรศัพท์ Google ของเราเปลี่ยนการเชื่อมต่อ USB ไม่มีข้อมูล โหมดทุกครั้งที่เราเสียบปลั๊กซึ่งหมายถึงการเปิด การตั้งค่า แอพที่ต้องปลดล็อคอุปกรณ์ก่อน:
คอมพิวเตอร์โฮสต์จะเห็นว่าโทรศัพท์เชื่อมต่อทุกครั้งที่เสียบปลั๊ก จึงทำให้สามารถเข้าถึงชื่ออุปกรณ์และตัวระบุฮาร์ดแวร์ต่างๆ ได้ ซึ่งเป็นการรั่วไหลของข้อมูลเพียงเล็กน้อยที่คุณควรระวัง แต่ข้อมูลบน เห็นได้ชัดว่าตัวโทรศัพท์นั้นถูกจำกัดการใช้งาน
โทรศัพท์ Google ของเราทำงานในลักษณะเดียวกันเมื่อเสียบปลั๊กเป็นครั้งที่สอง สาม หรือครั้งต่อๆ ไป โดยระบุว่ามีอุปกรณ์เชื่อมต่ออยู่ แต่จะตั้งค่าเป็น ไม่มีข้อมูล ตามที่แสดงด้านบน ทำให้ไฟล์ของคุณมองไม่เห็นตามค่าเริ่มต้นทั้งบน macOS และ Windows
คอมพิวเตอร์ที่ไม่น่าเชื่อถือบน iPhone ของคุณ
อย่างไรก็ตาม ข้อผิดพลาดที่น่ารำคาญอย่างหนึ่งของ iOS (เราถือว่าเป็นข้อบกพร่อง แต่นั่นเป็นความคิดเห็นมากกว่าข้อเท็จจริง) คือไม่มีเมนูใน iOS การตั้งค่า แอปที่คุณสามารถดูรายการคอมพิวเตอร์ที่คุณเคยเชื่อถือ และยกเลิกความเชื่อถือสำหรับอุปกรณ์แต่ละเครื่อง
คุณจะต้องจดจำว่าคอมพิวเตอร์เครื่องใดที่คุณเชื่อถือ และคุณสามารถเพิกถอนความเชื่อถือนั้นได้ด้วยวิธีทั้งหมดหรือไม่มีเลย
ในการไม่เชื่อถือคอมพิวเตอร์แต่ละเครื่อง คุณต้องเลิกเชื่อถือคอมพิวเตอร์ทั้งหมด ด้วยวิธีที่ไม่ชัดเจนและฝังลึก การตั้งค่า > General > ถ่ายโอนหรือรีเซ็ต iPhone > รีเซ็ตตำแหน่งและความเป็นส่วนตัว หน้าจอภายใต้หัวข้อที่ทำให้เข้าใจผิดซึ่งแนะนำว่าตัวเลือกเหล่านี้มีประโยชน์เมื่อคุณซื้อ iPhone เครื่องใหม่เท่านั้น:
จะทำอย่างไร?
- หลีกเลี่ยงหัวต่อหรือสายชาร์จที่ไม่รู้จักหากทำได้ แม้แต่สถานีชาร์จที่ตั้งขึ้นโดยสุจริตก็อาจไม่มีการควบคุมคุณภาพไฟฟ้าและแรงดันไฟฟ้าที่คุณต้องการ หลีกเลี่ยงเครื่องชาร์จหลักราคาถูกเช่นกัน หากทำได้ นำแบรนด์ที่คุณไว้วางใจติดตัวไปด้วย หรือชาร์จจากแล็ปท็อปของคุณเอง
- ล็อคหรือปิดโทรศัพท์ของคุณก่อนที่จะเชื่อมต่อกับเครื่องชาร์จหรือคอมพิวเตอร์ ซึ่งจะช่วยลดความเสี่ยงในการเปิดไฟล์ไปยังสถานีชาร์จปลอมโดยไม่ได้ตั้งใจ และช่วยให้แน่ใจว่าอุปกรณ์ถูกล็อคหากถูกขโมยและถูกขโมยที่หน่วยชาร์จที่มีผู้ใช้หลายคน
- พิจารณาการไม่เชื่อถืออุปกรณ์ทั้งหมดบน iPhone ของคุณก่อนที่จะเสี่ยงกับคอมพิวเตอร์หรือที่ชาร์จที่ไม่รู้จัก สิ่งนี้ทำให้มั่นใจได้ว่าจะไม่มีการลืมอุปกรณ์ที่เชื่อถือได้ซึ่งคุณอาจตั้งค่าไว้โดยไม่ได้ตั้งใจในการเดินทางครั้งก่อน
- พิจารณาซื้อสาย USB หรือซ็อกเก็ตอะแดปเตอร์แบบใช้พลังงานเท่านั้น ปลั๊ก USB-A แบบ "ไร้ข้อมูล" นั้นมองเห็นได้ง่ายเพราะมีขั้วต่อไฟฟ้าโลหะเพียงสองขั้วต่อในตัวเครื่องที่ขอบด้านนอกของซ็อกเก็ต แทนที่จะเป็นขั้วต่อสี่ตัวตามความกว้าง โปรดทราบว่าขั้วต่อด้านในอาจมองไม่เห็นในทันทีเสมอไป เนื่องจากไม่ได้อยู่ตรงขอบของเต้ารับ ขั้วต่อสายไฟจึงสัมผัสก่อน
สี่เหลี่ยมสีชมพูระบุตำแหน่งของตัวเชื่อมต่อข้อมูลอย่างคร่าว ๆ
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/04/17/fbi-and-fcc-warn-about-juicejacking-but-just-how-useful-is-their-advice/
