SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
27 Май 2016

Как зарядка смартфона от USB может привести к неприятностям

Это постоянно случается с каждым: смартфон сел, вот-вот должен поступить важный звонок (важное письмо, SMS от вызванного такси — нужное подчеркнуть), и надо любой ценой оставаться на связи.

В такой момент человек готов подключить свой смартфон к чему угодно, лишь бы добыть немного драгоценного электричества — любой USB-разъем подойдет.

Увы, мало кто задумывается о том, что это может быть небезопасно: через USB злоумышленники могут украсть ваши данные, заразить смартфон чем-нибудь очень неприятным или вывести его из строя. Потенциальных неприятностей при зарядке от первого попавшегося USB-порта существует две. Во-первых, не все электричество одинаково полезно. Интернет переполнен сообщениями пользователей смартфонов о том, как дешевая зарядка превратила их устройство в кирпич. Есть даже сообщения о летальных случаях — когда «левая» зарядка убила человека, взявшего в руки подключенный к ней смартфон.

Также не исключен вариант и злого умысла: например, в России в прошлом году потехи ради создали штуку под названием USB Killer: корпус похожего на обычную флешку устройства под завязку набит конденсаторами, которые некоторое время заряжаются от USB-порта, а по достижении напряжения 220 В — разряжаются, уничтожая как минимум данный порт USB, а если сильно не повезет — то и всю материнскую плату. Как вы думаете, ваш телефон обладает большим запасом прочности, чем компьютер?

Покажи мне свои файлы

Во-вторых, USB-порт — это всегда не только питание, но и передача данных. Современный компьютер, вполне подходящий для взлома смартфонов, можно уместить даже в корпус обычной зарядки, не говоря уже о публичной зарядной станции вроде тех, что ставят в аэропортах. И вы никогда не сможете узнать, что скрывается внутри.

Наиболее опасно дело обстоит в случае с не самыми свежими версиями Android: по умолчанию они подключаются к компьютеру в режиме передачи данных (MTP), так что компьютеру доступны все хранящиеся в памяти смартфона файлы.

От этого помогает блокировка, но скажите честно — вы точно ни разу не пользовались смартфоном, пока он заряжается? А если в процессе пополнения заряда батареи, например, приходит SMS, вы правда отключаете смартфон от зарядки перед тем, как его разблокировать?

Впрочем, даже если в операционной системе включен режим «Только зарядка», даже если смартфон заблокирован, при подключении к USB-порту компьютера он все равно передает какое-то количество данных. В зависимости от типа и версии операционной системы смартфона и компьютера, к которому он подключен, объем передаваемых данных варьируется, где-то меньше, где-то больше. Но абсолютно в любом сценарии это не «просто зарядка, ничего личного» — некоторый объем информации передается в любом случае.

Полный доступ

В процессе исследования того, какие данные передаются, мы обнаружили еще одну проблему. Выяснилось, что один из крупнейших мировых производителей смартфонов практикует передачу данных по USB даже сверх того объема, который предусмотрен операционной системой.

Дело в том, что устройства этого производителя по умолчанию принимают через USB так называемые AT-команды. Это набор команд, несколько десятилетий назад придуманный для управления модемами, впоследствии вошедший в стандарт GSM для управления телефонами, и он до сих пор используется в смартфонах.

Что можно сделать с помощью этих команд? Довольно много всего интересного. Например, вообще не составит труда узнать модель вашего смартфона и его серийный номер. Дальше — интереснее: можно узнать ваш номер телефона, а также скачать ту часть контактов, которая хранится на SIM-карте.

Также с помощью команды можно позвонить на произвольный номер — разумеется, за ваш счет. Если это происходит в роуминге, это позволит завести ваш баланс в крепкий минус и лишить связи — просто как один из примеров эксплуатации данной уязвимости.

Но и это еще не все: с помощью AT-команды смартфон можно перезагрузить в режим перепрошивки. И вот тут открываются действительно серьезные возможности для взлома: этот режим позволяет получить в операционной системе смартфона права суперпользователя (root) и установить любое приложение — например, бэкдор — и дальше делать со смартфоном вообще все что угодно. И все это может быть проделано с заблокированным смартфоном — не требуется вводить пароль и вообще знать о вашем смартфоне хоть что-нибудь!

Проблема в том, что по внешним признакам никогда нельзя сказать, что находится по ту сторону порта USB. Система, собирающая данные со всех подключаемых к ней смартфонов? Мощный конденсатор или просто некачественный источник питания, превращающий любое устройство в «кирпич»? Или вовсе компьютер, который устанавливает на ваш смартфон бэкдор, как в последнем из приведенных нами примеров? Увы, пока не попробуешь — не узнаешь.

Теги:
утечка информации USB Android
Источник:
Kaspersky Daily
Автор:
Alexey Komarov
1559
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015