يحذر مكتب دنفر التابع لمكتب التحقيقات الفيدرالي المستهلكين من استخدام محطات الشحن العامة المجانية ، قائلا إن الجهات الفاعلة السيئة يمكنها استخدام منافذ USB في محطات العصير لإدخال برامج ضارة وبرامج مراقبة على الأجهزة.
“احمل الشاحن الخاص بك وسلك USB واستخدم مأخذ كهربائي بدلا من ذلك” ، أوصت الوكالة في تغريدة حديثة.
“اصطياد العصير” موجود منذ عقد من الزمان ، على الرغم من أن لا أحد يعرف مدى انتشار هذه الممارسة.
“كان هناك الكثير من الحديث عن كونها في الجمهور ، ولكن ليس الكثير من الوقوع في الجمهور” ، لاحظ بريان ماركوس ، الرئيس التنفيذي لشركة Aries Security ، وهي شركة أبحاث وتعليم أمنية في ويلمنجتون ، ديل. ماركوس ، وزميله روبرت رولي أظهر لأول مرة اصطياد العصير في عام 2012.
“شواحن رفع العصير تشبه كاشطات أجهزة الصراف الآلي” ، قال ماركوس ل TechNewsWorld. “تسمع الكثير عنهم ولكنك لا تراهم بالضرورة.”
تجنب استخدام محطات الشحن المجانية في المطارات أو الفنادق أو مراكز التسوق. اكتشفت الجهات الفاعلة السيئة طرقا لاستخدام منافذ USB العامة لإدخال برامج ضارة وبرامج مراقبة على الأجهزة. احمل الشاحن الخاص بك وسلك USB واستخدم مأخذ التيار الكهربائي بدلا من ذلك. pic.twitter.com/9T62SYen9T
– مكتب التحقيقات الفدرالي دنفر (@FBIDenver) 6 أبريل 2023
وأوضح أن الشخص الذي يريد العبث بمحطة شحن طاقة شرعية يمكنه تغيير كابل المحطة إلى كابل تم التلاعب به ، والذي يحتوي على الشريحة التي يمكنها تثبيت حصان طروادة للوصول عن بعد ، أو الباب الخلفي ، على الهاتف. ثم يمكن مهاجمة الهاتف في أي وقت عبر الإنترنت.
قال ماركوس: “إنه منتشر بشكل خاص مع هواتف Android التي تعمل بإصدارات قديمة من نظام التشغيل”. “لهذا السبب من المهم للمستخدمين الحفاظ على تحديث أجهزتهم.”
آراء متباينة
يبدو أن هناك آراء متضاربة في المجتمع الأمني حول مدى أهمية التهديد الذي يشكله اصطياد العصير للمستهلكين.
“إنه ليس شائعا جدا بشكل عام لأن استخدام مرفق الشحن عن بعد ليس شيئا يفعله الناس كثيرا” ، لاحظ بود برومهيد ، الرئيس التنفيذي لشركة Viakoo ، مطور حلول برامج الأمن السيبراني والمادي في ماونتن فيو ، كاليفورنيا.
“ومع ذلك ، إذا كان شخص ما مستخدما لنظام شحن خارج عن إرادته ، فإن التحذير الصادر عن مكتب التحقيقات الفيدرالي يجب أن يدفعه إلى تغيير سلوكه ، حيث أن الحالات آخذة في الارتفاع” ، كما قال ل TechNewsWorld.
أكد أفيرام جينيك ، رئيس شركة Apona Security ، وهي شركة لأمن شفرة المصدر في روزفيل ، كاليفورنيا ، أن اصطياد العصير “شائع للغاية”.
“ليس لدينا أرقام لأن الأجهزة تميل إلى أن تكون في أماكن لا يبقى فيها الناس طويلا ، لذلك من السهل وضع جهاز مارق ثم استعادته” ، كما قال ل TechNewsWorld.
وأضاف: “لقد تم ذلك منذ سنوات حتى الآن ، وظهور محطات الشحن المصابة بالبرامج الضارة يكاد يكون منتظما”.
وقال: “عندما يصبح الشحن أكثر تعقيدا – بمعنى أن البيانات تنتقل على نفس الكابلات التي تحمل شحنة – سيزداد الأمر سوءا”. “عندما يكون الهدف ذا قيمة أعلى – على سبيل المثال ، EV مقابل الهاتف المحمول – ستكون المخاطر أعلى.”
وأضاف جينيك أن التطور المستقبلي الآخر سيكون الشحن اللاسلكي ، والذي سيسمح للمهاجمين بتنفيذ هجوم دون أن يرى أي شخص الجهاز المادي المستخدم في الاختراق.
مشكلة اتصال ثنائية الاتجاه
من المرجح أن يحدث اصطياد العصير في المناطق التي يرتادها الأشخاص المعنيون – السياسيون أو العاملون في وكالة الاستخبارات ، كما أكد أندرو بارات ، المدير الإداري للحلول والتحقيقات في Coalfire ، وهي شركة مقرها وستمنستر ، كولورادو تقدم خدمات استشارية للأمن السيبراني.
وقال ل TechNewsWorld: “لكي يكون هجوم الاصطياد فعالا ، يجب أن يقدم حمولة متطورة للغاية يمكنها تجاوز تدابير أمان الهاتف الشائعة”.
وتابع: “بصراحة ، سأكون أكثر قلقا بشأن استخدام المنافذ بكثافة لدرجة أنها ستتلف حبلي أو مقبس الهاتف”.
يستغل Juice jacking تقنية USB لأغراض ضارة. “تكمن المشكلة في أن منافذ USB تسمح بالاتصال ثنائي الاتجاه ، ليس فقط لشحن الطاقة ، ولكن أيضا لنقل البيانات. إنها الطريقة التي يمكن بها لجهاز USB الخاص بك إرسال الصور والبيانات الأخرى عند توصيله ، “أوضح روجر غرايمز ، مبشر الدفاع في KnowBe4 ، وهو مزود تدريب على الوعي الأمني في كليرووتر ، فلوريدا.
“لم يتم تصميم منفذ USB أبدا لمنع الأوامر الضارة المتقدمة المرسلة عبر قناة البيانات” ، كما قال ل TechNewsWorld. “كانت هناك العديد من التحسينات الأمنية على منفذ USB على مر السنين ، ولكن لا تزال هناك طرق إضافية للهجوم ، وتسمح معظم الأجهزة التي تدعم USB لمنفذ الشحن بإعلان نفسه إصدارا قديما من معيار منفذ USB ، لذلك لم تعد بعض ميزات الحماية الأحدث متوفرة.”
هل ستكون المركبات الكهربائية هي التالية؟
كيتنغ ، نائب الرئيس الأول للمبادرات الاستراتيجية في Zimperium ، مزود حلول أمن الأجهزة المحمولة في دالاس ، حذر المستهلكين من أن يكونوا حذرين من الحلول المجانية التي تصف نفسها بأنها خدمات “عامة”.
“عندما يخدع المتسللون الناس لاستخدام شبكات Wi-Fi ومحطات الطاقة المزيفة الخاصة بهم ، يمكنهم اختراق الأجهزة وتثبيت البرامج الضارة وبرامج التجسس وسرقة البيانات” ، كما قال ل TechNewsWorld.
وتابع: “سيستمر هذا الاتجاه ويتطور مع اتصال المزيد والمزيد من الأشخاص بمحطات شحن المركبات الكهربائية لسياراتهم الكهربائية”. “من خلال اختراق محطة شحن المركبات الكهربائية ، يمكن للمهاجمين إحداث فوضى عن طريق سرقة معلومات الدفع أو عن طريق القيام بنوع مختلف من برامج الفدية عن طريق تعطيل المحطات ومنع الشحن.”
أشار بارات من Coalfire إلى أن محطات شحن المركبات الكهربائية كانت مصدر قلق لفترة من الوقت ، لكن المشكلات كانت سرقة الرسوم أو الاستخدام المجاني للمحطات.
وقال: “على المدى الطويل ، أظن أن هناك قلقا من أننا سنستمر في رؤية المزيد من الهجمات ضد أجهزة الشحن هذه مع انتقال العالم إلى شواحن المركبات الكهربائية”.
وتابع: “عندما كان لدينا هواتف عمومية، كانت هناك هجمات ضدهم”. “هناك هجمات منتظمة ضد أجهزة الصراف الآلي ومضخات الغاز. أي شيء يمكن فيه الاستغناء عن القيمة في بيئة غير مراقبة ، هناك إمكانية لمردود للص الذي تم تمكينه عبر الإنترنت للاستفادة منه “.
تجنب الوقوع ضحية لاصطياد العصير
منذ أن قدم ماركوس ورولي العالم إلى لعبة Juice Jacking ، تحسنت الظروف بالنسبة للمهاجمين. تمت إضافة الاتصال اللاسلكي إلى منافذ الشحن ، على سبيل المثال.
وأشار ماركوس: “عندما فعلنا ذلك لأول مرة ، كان لدينا جهاز كمبيوتر محمول كامل مخبأ في محطة الشحن ، وكان يقوم بالكثير من العمل”. “مقدار قوة الحوسبة للقيام بنفس الشيء الآن أقل بكثير.”
مكتب التحقيقات الفيدرالي ليس وكالة الأبجدية الوحيدة التي تدق ناقوس الخطر بشأن اصطياد العصير. كما حذرت لجنة الاتصالات الفيدرالية (FCC) المستهلكين في الماضي من هذه الممارسة. لتجنب الوقوع ضحية لسرقة العصير ، توصي بما يلي:
- تجنب استخدام محطة شحن USB. استخدم منفذ طاقة التيار المتردد بدلا من ذلك.
- عند السفر ، أحضر مكيف الهواء وشواحن السيارة وكابلات USB الخاصة بك.
- احمل شاحنا محمولا أو بطارية خارجية.
- ضع في اعتبارك حمل كابل شحن فقط ، والذي يمنع البيانات من الإرسال أو الاستقبال أثناء الشحن ، من مورد موثوق به.