जूस जैकिंग क्या है, और क्या मुझे सार्वजनिक फोन चार्जर्स से बचना चाहिए?
आपके स्मार्टफोन को रिचार्ज की जरूरत है अभी तक फिर से और आप घर पर चार्जर से मीलों दूर हैं; कि सार्वजनिक चार्ज कियोस्क बहुत आशाजनक लग रहा है, बस अपने फोन को प्लग करें और मिठाई, मिठाई, ऊर्जा प्राप्त करें जो आप तरसते हैं। क्या गलत हो सकता है, ठीक है? सेलफोन हार्डवेयर और सॉफ्टवेयर डिज़ाइन में आम लक्षणों के लिए, जूस जैकिंग के बारे में अधिक जानने के लिए और इससे कैसे बचा जाए.
वास्तव में जूस जैकिंग क्या है?
आपके पास चाहे जितने भी आधुनिक स्मार्टफोन हों-चाहे वह एक एंड्रॉइड डिवाइस हो, आईफोन हो या फिर ब्लैकबेरी- सभी फोन में एक सामान्य विशेषता है: बिजली की आपूर्ति और डेटा स्ट्रीम एक ही केबल के ऊपर से गुजरना। चाहे आप अभी मानक USB मिनीबी कनेक्शन या ऐप्पल के मालिकाना केबल का उपयोग कर रहे हों, यह वही स्थिति है: आपके फोन में बैटरी को रिचार्ज करने के लिए जिस केबल का उपयोग किया जाता है, वही केबल आप अपने डेटा को ट्रांसफर और सिंक करने के लिए उपयोग करते हैं।.
एक ही केबल पर यह सेटअप, डेटा / पावर, एक दुर्भावनापूर्ण उपयोगकर्ता को चार्जिंग प्रक्रिया के दौरान आपके फोन तक पहुंच प्राप्त करने के लिए एक दृष्टिकोण वेक्टर प्रदान करता है; अवैध रूप से फोन के डेटा तक पहुंचने और / या डिवाइस पर दुर्भावनापूर्ण कोड को एक्सेस करने के लिए USB डेटा / पावर केबल का लाभ उठाकर जूस जैकिंग के रूप में जाना जाता है।.
हमला गोपनीयता के आक्रमण के रूप में सरल हो सकता है, जिसमें आपके फोन जोड़े को चार्ज किए गए कियोस्क के भीतर छुपाए गए कंप्यूटर और निजी फोटो और संपर्क जानकारी जैसी जानकारी दुर्भावनापूर्ण डिवाइस में स्थानांतरित कर दी जाती है। यह हमला आपके डिवाइस में सीधे दुर्भावनापूर्ण कोड के इंजेक्शन के रूप में आक्रामक भी हो सकता है। इस वर्ष के ब्लैकहैट सुरक्षा सम्मेलन में, सुरक्षा शोधकर्ता बिली लाऊ, येओंगजिन जैंग, और चेंगयु सॉन्ग "MACTANS: Injecting Malware Into iOS Devices Via Via Malicious Chargers" पेश कर रहे हैं, और यहाँ उनकी प्रस्तुति सार से एक अंश है:
इस प्रस्तुति में, हम प्रदर्शित करते हैं कि दुर्भावनापूर्ण चार्जर में प्लग किए जाने के एक मिनट के भीतर एक iOS डिवाइस से कैसे समझौता किया जा सकता है। हम पहले मनमाने सॉफ्टवेयर इंस्टॉलेशन से बचाने के लिए एप्पल के मौजूदा सुरक्षा तंत्र की जांच करते हैं, फिर वर्णन करते हैं कि कैसे इन रक्षा तंत्रों को बाईपास करने के लिए यूएसबी क्षमताओं का लाभ उठाया जा सकता है। परिणामी संक्रमण की दृढ़ता सुनिश्चित करने के लिए, हम दिखाते हैं कि कैसे एक हमलावर अपने सॉफ़्टवेयर को उसी तरह से छिपा सकता है जैसे कि Apple अपने स्वयं के अनुप्रयोगों को छिपाता है.
इन कमजोरियों के व्यावहारिक अनुप्रयोग को प्रदर्शित करने के लिए, हमने बीगलबोर्ड का उपयोग करते हुए, अवधारणा को दुर्भावनापूर्ण चार्जर का निर्माण किया, जिसे Mactans कहा जाता है। इस हार्डवेयर को आसानी से प्रदर्शित करने के लिए चुना गया था जिसके साथ निर्दोष दिखने वाले, दुर्भावनापूर्ण यूएसबी चार्जर का निर्माण किया जा सकता है। जबकि Mactans सीमित समय और एक छोटे बजट के साथ बनाया गया था, हम यह भी संक्षेप में विचार करते हैं कि अधिक प्रेरित, अच्छी तरह से वित्त पोषित विरोधी क्या पूरा कर सकते हैं.
सस्ते ऑफ-द-शेल्फ हार्डवेयर और एक चमकदार सुरक्षा भेद्यता का उपयोग करके, वे एक मिनट से भी कम समय में वर्तमान पीढ़ी के आईओएस उपकरणों तक पहुंच प्राप्त करने में सक्षम थे, कई सुरक्षा सावधानियों के बावजूद ऐप्पल ने इस तरह की चीज़ से बचने के लिए जगह बनाई है।.
हालांकि इस तरह का शोषण सुरक्षा रडार पर शायद ही कोई नया दोष है। दो साल पहले 2011 में DEF CON सुरक्षा सम्मेलन में, Aires Security, Brian Markus, Joseph Mlodzianowski और Robert Rowley के शोधकर्ताओं ने विशेष रूप से जूस जैकिंग के खतरों को प्रदर्शित करने के लिए एक चार्जिंग कियोस्क का निर्माण किया और जनता को सचेत किया कि उनके फोन कितने कमजोर थे। एक कियोस्क से जुड़ा-ऊपर की छवि उपयोगकर्ताओं को दुर्भावनापूर्ण कियोस्क में जैक करने के बाद प्रदर्शित की गई थी। यहां तक कि जिन उपकरणों को डेटा को जोड़ी या साझा नहीं करने का निर्देश दिया गया था, उन्हें अभी भी अक्सर आयर्स सुरक्षा कियोस्क के माध्यम से समझौता किया गया था.
इससे भी अधिक परेशान करने वाली बात यह है कि दुर्भावनापूर्ण कियोस्क के संपर्क में आने से दुर्भावनापूर्ण कोड के तत्काल इंजेक्शन के बिना भी सुरक्षा की समस्या पैदा हो सकती है। इस विषय पर हाल के एक लेख में, सुरक्षा शोधकर्ता जोनाथन ज़डज़ार्स्की ने बताया कि iOS जोड़ी भेद्यता कैसे बनी रहती है और आप कियोस्क के संपर्क में नहीं रहने के बाद भी दुर्भावनापूर्ण उपयोगकर्ताओं को आपके डिवाइस के लिए एक विंडो दे सकते हैं:
यदि आप इस बात से परिचित नहीं हैं कि आपके iPhone या iPad पर पेयरिंग कैसे काम करती है, तो यह वह तंत्र है जिसके द्वारा आपका डेस्कटॉप आपके डिवाइस के साथ एक भरोसेमंद संबंध स्थापित करता है ताकि आईट्यून्स, एक्सकोड या अन्य उपकरण इस पर बात कर सकें। एक बार जब एक डेस्कटॉप मशीन को जोड़ा जाता है, तो यह आपकी पता पुस्तिका, नोट्स, फोटो, संगीत संग्रह, एसएमएस डेटाबेस, कैश टाइपिंग सहित डिवाइस पर व्यक्तिगत जानकारी के एक मेजबान तक पहुंच सकता है, और यहां तक कि फोन का पूरा बैकअप भी शुरू कर सकता है। एक बार जब कोई डिवाइस युग्मित होता है, तो यह सब और किसी भी समय वायरलेस तरीके से एक्सेस किया जा सकता है, भले ही आपके पास वाईफाई सिंक चालू हो। एक युग्मन फ़ाइल सिस्टम के जीवन के लिए रहता है: अर्थात, एक बार जब आपके iPhone या iPad को किसी अन्य मशीन के साथ जोड़ा जाता है, तो यह युग्म संबंध तब तक रहता है जब तक आप फ़ोन को फ़ैक्टरी स्थिति में पुनर्स्थापित नहीं करते हैं.
यह तंत्र, जो आपके iOS डिवाइस को दर्द रहित और आनंददायक बना सकता है, वास्तव में एक दर्दनाक स्थिति पैदा कर सकता है: आप जिस किओस्क को अपने iPhone से रीचार्ज कर सकते हैं, सैद्धांतिक रूप से, उसके बाद भी निरंतर उपयोग के लिए अपने iOS डिवाइस के लिए वाई-फाई गर्भनाल बनाए रखें। आपने अपने फोन को अनप्लग कर दिया है और एंग्री बर्ड्स के एक राउंड (या चालीस) को खेलने के लिए पास के एयरपोर्ट लाउंज चेयर में खिसक गए हैं.
मुझे कितना चिंतित होना चाहिए?
हम कैसे-कैसे गीक पर यहां कुछ भी जान सकते हैं, और हम हमेशा इसे सीधे आपको देते हैं: वर्तमान में जूस जैकिंग एक बड़े पैमाने पर सैद्धांतिक खतरा है, और संभावना है कि आपके स्थानीय हवाई अड्डे पर कियोस्क में यूएसबी चार्जिंग पोर्ट वास्तव में एक गुप्त हैं। डेटा साइफ़ोनिंग और मैलवेयर-इंजेक्शनिंग कंप्यूटर के लिए फ्रंट बहुत कम हैं। हालांकि, इसका मतलब यह नहीं है कि आपको अपने कंधों को सिकोड़ना चाहिए और तुरंत बहुत ही वास्तविक सुरक्षा जोखिम के बारे में भूल जाना चाहिए जो आपके स्मार्टफोन या टैबलेट को किसी अज्ञात डिवाइस में प्लग कर रहा है।.
कई साल पहले, जब फ़ायरफ़ॉक्स एक्सटेंशन Firesheep सुरक्षा हलकों में शहर की बात कर रहा था, यह वास्तव में काफी हद तक सैद्धांतिक था, लेकिन अभी भी एक साधारण ब्राउज़र एक्सटेंशन का बहुत वास्तविक खतरा उपयोगकर्ताओं को अन्य उपयोगकर्ताओं के वेब-सेवा उपयोगकर्ता सत्रों को हाइजैक करने की अनुमति देता है। स्थानीय वाई-फाई नोड जिसके कारण महत्वपूर्ण परिवर्तन हुए। अंत उपयोगकर्ताओं ने अपने ब्राउज़िंग सत्र की सुरक्षा को और अधिक गंभीरता से लेना शुरू कर दिया (अपने घर के इंटरनेट कनेक्शनों के माध्यम से या वीपीएन से जुड़ने जैसी तकनीकों का उपयोग करके) और प्रमुख इंटरनेट कंपनियों ने बड़े सुरक्षा परिवर्तन किए (जैसे कि संपूर्ण ब्राउज़र सत्र को एन्क्रिप्ट करना और न कि केवल लॉगिन).
ठीक इसी अंदाज में, यूजर्स को जूस जैकिंग के खतरे से अवगत करवाना दोनों का मौका कम हो जाता है कि लोग जूस जैक कर लेंगे और कंपनियों पर दबाव बढ़ाकर अपनी सुरक्षा प्रथाओं को बेहतर ढंग से प्रबंधित कर पाएंगे (यह बहुत अच्छा है, उदाहरण के लिए, कि आपके आईओएस डिवाइस जोड़े इतनी आसानी से और आपके उपयोगकर्ता के अनुभव को सुचारू बनाता है, लेकिन युग्मित डिवाइस में 100% विश्वास के साथ आजीवन जोड़ी बनाने के निहितार्थ काफी गंभीर हैं).
मैं जूस जैकिंग से कैसे बच सकता हूं?
हालांकि जूस जैकिंग एक व्यापक रूप से खतरा नहीं है क्योंकि एकमुश्त फोन चोरी या दुर्भावनापूर्ण वायरस के संपर्क में आने के लिए समझौता किए गए डाउनलोड के माध्यम से, आपको सिस्टम से संपर्क करने से बचने के लिए सामान्य ज्ञान की सावधानी बरतनी चाहिए जो आपके व्यक्तिगत उपकरणों तक पहुंच बना सकती है।. निर्वासन की छवि शिष्टाचार.
किसी थर्ड-पार्टी सिस्टम का उपयोग करके अपने फ़ोन को चार्ज करने के लिए अनावश्यक रूप से स्पष्ट करने के लिए सबसे स्पष्ट सावधानी केंद्र:
अपने उपकरणों को बंद रखें: अपने मोबाइल डिवाइस को चार्ज रखने के लिए सबसे स्पष्ट एहतियात है। जब आप सक्रिय रूप से इसका उपयोग नहीं कर रहे हों या अपने डेस्क पर बैठकर काम कर रहे हों तो अपने घर और कार्यालय में अपना फोन चार्ज करने की आदत डालें। जब आप यात्रा कर रहे हों या घर से दूर हो, तो बेहतर होगा कि आप अपने आप को लाल रंग की 3% बैटरी बार में देखें.
एक व्यक्तिगत चार्जर ले: चार्जर इतने छोटे और हल्के हो गए हैं कि वे वास्तविक यूएसबी केबल की तुलना में अधिक वजन करते हैं। अपने बैग में एक चार्जर फेंक दें ताकि आप अपने खुद के फोन को चार्ज कर सकें और डेटा पोर्ट पर नियंत्रण बनाए रख सकें.
बैकअप बैटरी ले जाएं: चाहे आप एक पूर्ण स्पेयर बैटरी ले जाने का विकल्प चुनते हैं (उन उपकरणों के लिए जो आपको बैटरी को शारीरिक रूप से स्वैप करने की अनुमति देते हैं) या एक बाहरी आरक्षित बैटरी (जैसे यह छोटे 2600mAh की एक बैटरी), आप अपने फोन को एक कियोस्क या दीवार के आउटलेट पर टिके बिना लंबे समय तक जा सकते हैं।.
यह सुनिश्चित करने के अलावा कि आपका फ़ोन एक पूर्ण बैटरी बनाए रखता है, ऐसी अतिरिक्त सॉफ़्टवेयर तकनीकें हैं जिनका आप उपयोग कर सकते हैं (हालाँकि, जैसा कि आप कल्पना कर सकते हैं, ये आदर्श से कम हैं और सुरक्षा कारनामों की लगातार विकसित होने वाली हथियारों की दौड़ को देखते हुए काम की गारंटी नहीं है)। इस प्रकार, हम वास्तव में प्रभावी रूप में इनमें से किसी भी तकनीक का समर्थन नहीं कर सकते हैं, लेकिन वे निश्चित रूप से कुछ भी नहीं करने की तुलना में अधिक प्रभावी हैं.
अपना फ़ोन लॉक करें: जब आपका फोन लॉक हो जाता है, तो पिन या समकक्ष पासकोड के इनपुट के बिना वास्तव में लॉक और दुर्गम, आपका फोन उस डिवाइस के साथ जोड़ी नहीं होना चाहिए, जिससे वह जुड़ा हुआ है। iOS उपकरणों को केवल तब जोड़ा जाएगा जब अनलॉक किया जाएगा-लेकिन फिर से, जैसा कि हमने पहले ही प्रकाश डाला था, जोड़ी बनाना सेकंड के भीतर होता है इसलिए आपने बेहतर तरीके से सुनिश्चित कर लिया था कि फोन वास्तव में बंद है.
फ़ोन डाउन करें: यह तकनीक केवल फोन मॉडल के आधार पर फोन मॉडल के आधार पर काम करती है, जो कि संपूर्ण USB सर्किट पर पावर डाउन होने के बावजूद कुछ फोन इच्छाशक्ति के साथ काम करती है और डिवाइस में फ्लैश स्टोरेज तक पहुंच की अनुमति देती है।.
बाँधना अक्षम करें (केवल Jailbroken iOS डिवाइस): जोनाथन Zdziarski, लेख में पहले उल्लेख किया गया था, जेलब्रोकेन आईओएस उपकरणों के लिए एक छोटा अनुप्रयोग जारी किया जो अंतिम उपयोगकर्ता को डिवाइस के युग्मन व्यवहार को नियंत्रित करने की अनुमति देता है। आप उसका आवेदन, PairLock, Cydia Store में और यहाँ पा सकते हैं.
एक अंतिम तकनीक जो आप उपयोग कर सकते हैं, जो प्रभावी लेकिन असुविधाजनक है, एक यूएसबी केबल का उपयोग डेटा तारों के साथ या तो हटा दिया गया है या छोटा किया गया है। "पावर ओनली" केबल्स के रूप में बिकने वाली, ये केबलें डेटा ट्रांसमिशन के लिए आवश्यक दो तारों को गायब कर रही हैं और पावर ट्रांसमिशन के लिए केवल दो तार शेष हैं। हालांकि, इस तरह के केबल का उपयोग करने के डाउनसाइड्स में से एक यह है कि आपका डिवाइस आमतौर पर अधिक धीरे-धीरे चार्ज करेगा क्योंकि आधुनिक चार्जर डिवाइस के साथ संचार करने के लिए डेटा चैनलों का उपयोग करते हैं और एक उपयुक्त अधिकतम ट्रांसफर थ्रेशोल्ड सेट करते हैं (यह संचार अनुपस्थित है, चार्जर डिफ़ॉल्ट होगा सबसे कम सुरक्षित सीमा).
.