ジュースジャッキングとは何ですか？空港、駅、その他の公共の場所で携帯電話を充電してはいけないのはなぜですか?

以下のようなかなり一般的な状況があります。Facebookで新しいガールフレンドと興味深い会話をしている間に、あなたの最愛の携帯電話のバッテリーが徐々に消耗してきたとします。そして「良いニュース」は、いまいまいましい充電器を家に忘れたことです。そのとき、突然、公共の USB 充電ポストが目に入るとします。角にある。あなたはためらうことなく携帯電話を接続し、終わらない会話の甘い香りを楽しみ続けました。その安心感により、個人情報を収集して利益を得ようとするハッカーの被害者になる可能性があります。

ジャッキングジュースとは一体何ですか？

Android、iPhone 、BlackBerry デバイスなど、今日の最新のスマートフォンの種類に関係なく、共通の特徴が 1 つあります。それは、充電電力とデータが同じポートとケーブルを介して流れることです。現在の標準の USB miniB、USB typeC 接続、または Apple 独自の Lightning ケーブルを使用しているかどうかに関係なく、バッテリーの充電に使用されるケーブルは、電話機上のデータの転送と同期にも機能します。

「スマートフォンを未知の充電ソースに接続するだけで、デバイスはマルウェアに感染する危険があります。すべてのデータで代償を支払うこともできます」と、Authentic8 のセキュリティ専門家ドリュー・パイク氏は説明します。

公共 Wi-Fiや電話の充電ポイントは、空港、飛行機、公園、コンベンションセンターなどの場所によくあります。これらの充電ポイントに携帯電話を接続すると、重大なリスクが伴います。

「携帯電話の充電に使用するコードは、携帯電話から別のデバイスにデータを送信するコードでもあります。たとえば、充電コードを使用して iPhone を Mac に接続すると、携帯電話から Mac に写真をダウンロードできます。公共の充電ポートがハッキングされると、悪者があなたのデータに無制限にアクセスできる可能性があります」とパイク氏はさらに説明した。

そのデータには、電子メール、メッセージ、写真、連絡先などが含まれます。この情報ハッキング手法は「ジュースジャッキング」と呼ばれており、この用語は 2011 年に作られました。昨年、ハッキングされた接続ポートや電話画面を使用して、ユーザーが入力したり見たりしたすべてを記録する「ビデオジャッキング」手法も発見されました。

これらはプライバシーの侵害であると簡単に理解できます。具体的には、プライベートの写真や連絡先情報などのデータが、公共の充電デバイスへの接続を通じて悪意のあるデバイスにコピーされます。さらに、ハッカーは悪意のあるコードをデバイスに直接送信し、長期間にわたって情報を盗むこともあります。今年の BlackHat セキュリティカンファレンスでは、セキュリティ研究者の Billy Lau 氏、YeongJin Jang 氏、Chengyu Song 氏が「MACTANS: 安全でない充電器を介してiOSデバイスにマル��ェアを導入する。Bao」というテーマで発表しました。以下は彼らのプレゼンテーションの抜粋です。

「このプレゼンテーションでは、iOS デバイスが悪意のある充電器に接続されてからわずか 1 分以内にどのように侵害されるかを示します。まず、任意のソフトウェアのインストールを防ぐための Apple の既存のセキュリティメカニズムを確認し、次に、これらの保護メカニズムを回避するツールとして USB ポートを活用する方法について説明します。悪意のあるコードの存在を証明するために、Apple が自社の組み込みアプリケーションを隠すのと同じ方法で、攻撃者がマルウェアを隠す方法を示します。これらのセキュリティ脆弱性が現実世界に及ぼす影響を実証するために、BeagleBoard を使用した Mactans と呼ばれる悪意のある充電器のコンセプトに関する情報を収集しました。

Apple がこの問題に対処するために多くのセキュリティ対策を講じているにもかかわらず、ハッカーは安価なハードウェアを使用し、デバイスのセキュリティの脆弱性を利用して、1 分以内に現在の iOS デバイスにアクセスできます。

何年も前、DEF CON 2011 セキュリティカンファレンスで、Aires Security のセキュリティ研究者、ブライアンマルカス、ジョセフムロジアノウスキー、ロバートローリーは、特にジュースジャッキングの危険性を実証し、電話接続の危険性について一般の人々に警告するために充電キオスクを構築しました。有害な充電キオスクに。

さらに厄介なのは、悪意のある充電キオスクにさらされると、デバイスがその充電キオスクに接続されなくなった後も続くセキュリティ上の問題が発生する可能性があることです。このテーマに関する最近の記事で、セキュリティ研究者の Jonathan Zdziarski 氏は、iOS のペアリングの脆弱性がどのように残り、キオスクに接続しなくなった後でも悪意のあるユーザーにデバイスへのウィンドウを与える可能性があることを概説しています。

「iPhone または iPad でのペアリング方法がわからない場合は、これがコンピュータと携帯電話との信頼できる接続を確立し、iTunes、Xcode、またはその他のツールに接続するためのペアリングメカニズムです。デスクトップコンピュータが電話機とペアリングされると、その電話機上のさまざまな個人情報 (連絡先、メモ、写真、音楽コレクション、SMS データベース、キャッシュなど) にアクセスでき、電話機上のすべてのデータをバックアップすることもできます。デバイスがペアリングされると、WiFi 同期が有効かどうかに関係なく、これらすべてにいつでもワイヤレスでアクセスできます。これらのマルウェアは慢性ウイルスにたとえることができ、iPhone または iPad が元の設定に復元された場合にのみ消滅します。

ジュースジャッキングを避けるには？

ジュースジャッキングは、現在、携帯電話の盗難やダウンロードによる悪意のあるウイルスへの暴露ほど一般的な脅威ではありませんが、個人のデバイスに悪意のあるアクセスを取得する可能性のあるシステムにさらされることを避けるために、常識的な予防策を講じる必要があります。

これを防ぐ最も効果的かつ簡単な方法は、サードパーティの充電システムからの携帯電話の充電を制限するか完全に避けることです。

デバイスのバッテリー切れを防ぐ:自宅やオフィスで、使用していないときに携帯電話を充電する習慣をつけましょう。現在のバッテリー技術では、バッテリーの消耗を気にせずに快適に充電したり取り外したりできるため、外出前にスマートフォンをフル充電しておくようにしてください。電話機が十分なバッテリー寿命を維持できるようにするだけでなく、電源管理とバッテリー節約をサポートするアプリケーションを使用することもできます。これらのアプリケーションの有効性はまだあまり知られていませんが、何もしないよりは確実に良いです。

バックアップ充電器の使用:これは、現在、携帯電話のバッテリーを充電する最も一般的で便利な方法です。家にいない場合に備えて、いつでも携帯電話をバッテリーに接続するだけでバッテリーを充電できます。この充電方法を使用すると、セキュリティの問題を心配する必要はありませんが、その代わりに、バックアップバッテリーを購入するために少額のお金を費やす必要があり、また、そうでない場合の火災や爆発のリスクを制限するために適切なタイプを選択する必要があります。幸いなことに私は安全性の低いタイプを購入しました。

AC コンセントを備えた独自の充電器を使用する:場合によっては、公共の充電ステーションには、充電速度に対応するために標準の AC コンセントと USB 充電ポートの両方が備えられている場合があります。この場合、USB 充電ポートをスキップし、携帯電話の標準充電器を AC 電源コンセントに直接接続します。ネットワークトラフィックが電源コードを介して送信されている場合でも、AC 電源コンセントを使用する場合、セキュリティ上のリスクはありません。信頼できる充電器を使用している限り、デバイスは安全です。

携帯電話をロックする:携帯電話がロックされていると、接続されたデバイスとペアリングできなくなります。たとえば、iOS デバイスはロックが解除されている場合にのみペアリングされます。ただし、先ほど述べたように、ペアリングには数秒しかかからないため、充電中は携帯電話が実際にロックされていることを確認する必要があります。

電話の電源を切る:この方法は、特定の電話モデルにのみ適用されます。電話機の電源がオフになっている場合でも、USB 回路全体の電源はオンのままであり、デバイス内のフラッシュメモリにアクセスできます。

ペアリングを無効にする (ジェイルブレイクされた iOS デバイスにのみ適用):ジェイルブレイクされた iOS デバイスでは、ユーザーがデバイスのペアリング動作を制御できるようになります。

充電専用アダプターを使用する:これは最後の手段であり、非常に効果的ですが少し不便です。充電専用のアダプターは非常に安価で購入できます。このタイプのアダプターにはまったく問題はありません。これらは、携帯電話の充電ケーブルを接続する前に USB ポートに差し込む小さなドングルのようなものです。このドングルでは、データ転送の役割を果たす接続ピンが切断され、接続を通じて電力のみが送信されるようになります。

ただし、このタイプのアダプターには小さな欠点もあります。それは、1A に制限された電源での充電のみをサポートしており、他の高速充電テクノロジーは使用できないことです。 1A が最大電力です。ただし、多くの公共 USB 充電ポートの充電速度はさらに遅くなります。さらに、デバイスはコンピュータの USB ポートから 500mA (0.5A) でのみ充電されるため、ラップトップコンピュータまたはデスクトップコンピュータからデバイスを充電する場合、このアダプタを使用すると充電を高速化できることにも注意してください。

Android デバイスを使用している場合は、ドングルのように機能する充電専用ケーブルを購入することもできます。これは、ケーブルのデータピンが欠落しているため、転送を目的とした接続が可能になり、ケーブル経由でのデータ交換は不可能になります。 Apple の Lightning ポートを使用するデバイスに関しては、充電専用の Lightning - USB ケーブル製品は現在市場に存在していないようです。ただし、iOS ユーザーは、iPhone と Android 携帯電話の両方で動作する充電専用アダプターを引き続き使用できます。

結局のところ、虐待に対する最善の防御策はあなた自身の認識にあります。デバイスを常にフル充電し、オペレーティングシステムが提供するセキュリティ機能を定期的に更新し（ただし、これらの機能は使いやすいものではなく、どのセキュリティシステムでも悪用される可能性があります）、最後に、未知の充電ステーションやコンピュータに携帯電話を接続することは避けてください。不明な送信者からの電子メールの添付ファイルを開く。

続きを見る：