요즘은 공항, 패스트푸드점, 심지어 버스에도 USB 충전소가 있습니다. 그러나 이러한 공공 항구는 안전합니까? 하나를 사용하면 휴대 전화 나 태블릿이 해킹 될 수 있습니까? 우리는 그것을 확인했습니다!
목차
일부 전문가들은 경보를 울렸다
일부 전문가들은 공용 USB 충전 스테이션을 사용한 적이 있다면 걱정해야 한다고 생각합니다. 올해 초 IBM의 엘리트 침투 테스트 팀인 X-Force Red의 연구원들은 엄중한 경고 공공 충전소와 관련된 위험에 대해.
X-Force Red의 위협 인텔리전스 부사장인 Caleb Barlow는 “공용 USB 포트에 연결하는 것은 길가에서 칫솔을 찾아 입안에 넣기로 결정하는 것과 같습니다.”라고 말했습니다. “당신은 그 물건이 어디에 있었는지 전혀 모릅니다.”
Barlow는 USB 포트가 단순히 전원을 전달하는 것이 아니라 장치 간에 데이터를 전송한다고 지적합니다.
최신 장치로 제어할 수 있습니다. 그들은 당신의 허락 없이 USB 포트의 데이터를 받아들여서는 안 됩니다. 그래서 “이 컴퓨터를 신뢰합니까?” 프롬프트는 iPhone에 존재합니다. 그러나 보안 허점은 이러한 보호를 우회하는 방법을 제공합니다. 신뢰할 수 있는 전원 브릭을 표준 전기 포트에 연결하기만 하면 이는 사실이 아닙니다. 그러나 공용 USB 포트를 사용하면 데이터를 전송할 수 있는 연결에 의존하게 됩니다.
약간의 기술 교활함으로 USB 포트를 무기화하고 연결된 전화에 멀웨어를 푸시하는 것이 가능합니다. 기기가 Android 또는 이전 버전의 iOS를 실행하므로 보안 업데이트가 뒤처진 경우 특히 그렇습니다.
모든 것이 무섭게 들리지만 이러한 경고가 실제 문제에 근거한 것입니까? 알아보기 위해 더 깊이 파고들었다.
이론에서 실습으로
그렇다면 모바일 장치에 대한 USB 기반 공격은 순전히 이론적인 것입니까? 대답은 명백한 아니오입니다.
보안 연구원들은 오랫동안 충전소를 잠재적인 공격 벡터로 간주해 왔습니다. 2011년에는 베테랑 정보보안 저널리스트인 브라이언 크렙스(Brian Krebs)도 “주스 재킹”이라는 용어를 만들었습니다. 이를 이용하는 익스플로잇을 설명합니다. 모바일 장치가 대중화되면서 많은 연구자들이 이 한 가지 측면에 집중했습니다.
2011년 Defcon 보안 컨퍼런스의 프린지 이벤트인 Wall of Sheep에서는 충전 부스를 설치하여 사용할 때 신뢰할 수 없는 장치에 연결하는 위험에 대해 경고하는 팝업을 장치에 생성했습니다.
2년 후 Blackhat USA 행사에서 Georgia Tech의 연구원들이 도구를 시연했습니다. 충전소로 가장하여 당시 최신 버전의 iOS를 실행하는 기기에 멀웨어를 설치할 수 있습니다.
계속할 수 있지만 아이디어는 알 수 있습니다. 가장 적절한 질문은 “Juice Jacking”의 발견이 실제 공격으로 번역되었는지 여부입니다. 이것은 상황이 약간 흐려지는 곳입니다.
위험 이해
“주스 재킹”이 보안 연구원에게 인기 있는 초점 영역임에도 불구하고 공격자가 접근 방식을 무기로 사용한 문서화된 사례는 거의 없습니다. 대부분의 언론 보도는 대학 및 정보 보안 회사와 같은 기관에서 일하는 연구원의 개념 증명에 중점을 둡니다. 아마도 이것은 본질적으로 공공 충전소를 무기화하기 어렵기 때문일 것입니다.
공공 충전소를 해킹하려면 공격자가 특정 하드웨어(예: 멀웨어를 배포하기 위한 소형 컴퓨터)를 구해서 잡히지 않고 설치해야 합니다. 승객을 철저히 감시하고 체크인 시 보안요원이 드라이버와 같은 도구를 압수하는 분주한 국제공항에서 그렇게 하십시오. 비용과 위험으로 인해 주스 재킹은 기본적으로 일반 대중을 대상으로 하는 공격에 적합하지 않습니다.
이러한 공격이 상대적으로 비효율적이라는 주장도 있습니다. 충전 소켓에 연결된 장치만 감염시킬 수 있습니다. 또한 Apple 및 Google과 같은 모바일 운영 체제 제조업체가 정기적으로 패치하는 보안 허점에 의존하는 경우가 많습니다.
현실적으로 해커가 공공 충전소를 조작하는 경우 출근길에 몇 퍼센트 포인트를 충전해야 하는 통근자가 아니라 고부가가치 개인에 대한 표적 공격의 일부일 가능성이 큽니다.
안전 제일
모바일 장치로 인한 보안 위험을 경시하는 것이 이 기사의 의도가 아닙니다. 스마트폰은 때때로 맬웨어를 전파하는 데 사용됩니다. 또한 악성 소프트웨어가 있는 컴퓨터에 연결되어 있는 동안 전화기가 감염되는 경우도 있습니다.
2016년 로이터 기사에서 F-Secure의 공식 얼굴인 Mikko Hypponen은 다음과 같이 말했습니다. Android 악성코드의 특히 위험한 변종에 대해 설명했습니다. 유럽 항공기 제조업체에 영향을 미쳤습니다.
“Hypponen은 최근 유럽 항공기 제조업체와 이야기를 나누며 매주 비행기 조종석에서 안드로이드 폰용으로 설계된 멀웨어를 청소한다고 말했습니다. 이 악성코드는 공장 직원들이 조종석에 있는 USB 포트로 휴대폰을 충전하고 있었기 때문에 비행기에 퍼졌습니다.”라고 기사가 설명했습니다.
“비행기는 다른 운영 체제를 실행하기 때문에 아무 일도 일어나지 않을 것입니다. 그러나 충전기에 연결된 다른 장치에 바이러스를 퍼뜨릴 것입니다.”
주택 보험에 가입하는 이유는 집이 불타버릴 것으로 예상하기 때문이 아니라 최악의 시나리오에 대비해야 하기 때문입니다. 마찬가지로 컴퓨터 충전소를 사용할 때도 현명한 예방 조치를 취해야 합니다. 가능하면 USB 포트 대신 표준 콘센트를 사용하십시오. 그렇지 않으면 장치 대신 휴대용 배터리를 충전하는 것이 좋습니다. 또한 휴대용 배터리를 연결하여 충전할 때 휴대폰을 충전할 수도 있습니다. 즉, 가능하면 전화기를 공용 USB 포트에 직접 연결하지 마십시오.
문서화된 위험은 거의 없지만 후회하는 것보다 안전한 것이 항상 낫습니다. 일반적으로 신뢰할 수 없는 USB 포트에 물건을 연결하지 마십시오.