«Лаборатория Касперского»: заряжать смартфоны через USB-порты компьютеров небезопасно

Скачивая и устанавливая приложения только из официальных источников и блокируя телефон, нам кажется, что таких мер цифровой безопасности достаточно. Но так ли это? Фото: vidualhunt.com (СС0).
Скачивая и устанавливая приложения только из официальных источников и блокируя телефон, нам кажется, что таких мер цифровой безопасности достаточно. Но так ли это? Фото: vidualhunt.com (СС0).

Мобиль­ные устрой­ства зани­ма­ют зна­чи­мое место в нашей повсе­днев­ной жиз­ни. Каж­дый день они соби­ра­ют и хра­нят инфор­ма­цию о сво­ем поль­зо­ва­те­ле. Фото­гра­фии, видео, лич­ные дан­ные, поч­та, замет­ки, исто­рия сооб­ще­ний в мес­сен­дже­рах – все это может ока­зать­ся в руках зло­умыш­лен­ни­ков, даже несмот­ря на защи­ту устройств с помо­щью паро­ля, ПИН-кода или отпе­чат­ка паль­ца.

Ска­чи­вая и уста­нав­ли­вая при­ло­же­ния толь­ко из офи­ци­аль­ных источ­ни­ков и бло­ки­руя теле­фон, нам кажет­ся, что таких мер циф­ро­вой без­опас­но­сти доста­точ­но. Но так ли это?

«Лабо­ра­то­рия Кас­пер­ско­го» про­ве­ла экс­пе­ри­мент, кото­рый пока­зы­ва­ет, что заря­жать смарт­фо­ны через USB-пор­ты ком­пью­те­ров небез­опас­но, так как это откры­ва­ет путь в систе­му зло­умыш­лен­ни­кам и может при­ве­сти к кра­же дан­ных и зара­же­нию устрой­ства вре­до­нос­ны­ми про­грам­ма­ми.

Экс­пер­ты про­те­сти­ро­ва­ли несколь­ко смарт­фо­нов, рабо­та­ю­щих на Android и iOS, и выяс­ни­ли, что во вре­мя под­клю­че­ния к ком­пью­те­ру с помо­щью стан­дарт­но­го USB-кабе­ля про­ис­хо­дит авто­ма­ти­че­ский обмен опре­де­лен­ным набо­ром дан­ных (зави­сит от про­из­во­ди­те­ля, вер­сии опе­ра­ци­он­ной систе­мы и про­шив­ки устрой­ства).

Безопасно ли заряжать свой смартфон через USB чужого компьютера?
Обо­зна­че­ния: DN – Device Name – имя устрой­ства; DM – Device Manufacturer — про­из­во­ди­тель; DT – Device Type – тип устрой­ства; SN – Serial Number – серий­ный номер; FW – Firmware info – инфор­ма­ция о про­шив­ке; OS – Operating System info – инфор­ма­ция об ОС; FS – File system info/file list – инфор­ма­ция о фай­ло­вой систе­ме; ECID – Electronic Chip ID. Источ­ник: kaspersky.ru.

Эти дан­ные могут исполь­зо­вать зло­умыш­лен­ни­ки, так как иден­ти­фи­ка­ция устрой­ства поз­во­ля­ет опре­де­лить его уяз­ви­мо­сти и полу­чить доступ.

Как пока­зал экс­пе­ри­мент «Лабо­ра­то­рии Кас­пер­ско­го», это может быть сде­ла­но с помо­щью одной из команд моде­ма, выпол­ня­ю­щей пере­за­груз­ку смарт­фо­на в режи­ме обнов­ле­ния про­шив­ки. В резуль­та­те таких дей­ствий на устрой­ство может быть неза­мет­но уста­нов­ле­но при­ло­же­ние для управ­ле­ния фай­ло­вой систе­мой, кото­рое нель­зя уда­лить стан­дарт­ны­ми сред­ства­ми.

Этот метод дает зло­умыш­лен­ни­кам воз­мож­ность уста­нав­ли­вать и уда­лять при­ло­же­ния, копи­ро­вать сооб­ще­ния, фото и видео, шиф­ро­вать и уда­лять дан­ные и т.д.

О том, что смарт­фон может быть зара­жен через USB-порт, мир узнал еще в 2014 году на кон­фе­рен­ции Black Hat, и тем не менее эта про­бле­ма до сих пор не реше­на. Вла­дель­цы мобиль­ных устройств могут серьез­но постра­дать, через USB-соеди­не­ние в систе­му мож­но внед­рить все что угод­но – от реклам­но­го ПО до про­грам­мы-шиф­ро­валь­щи­ка.

Это может сде­лать даже непро­фес­си­о­наль­ный хакер, необ­хо­ди­мую инфор­ма­цию лег­ко мож­но най­ти в Сети. Осо­бен­но таких атак сле­ду­ет опа­сать­ся сотруд­ни­кам круп­ных ком­па­ний, ответ­ствен­ным за при­ня­тие реше­ний. Алек­сей Кома­ров, иссле­до­ва­тель «Лабо­ра­то­рии Кас­пер­ско­го».

Чтобы защитить себя от подобных рисков, рекомендуется:

– уста­но­вить на мобиль­ное устрой­ство пароль;

– исполь­зо­вать толь­ко про­ве­рен­ные заряд­ные устрой­ства, про­во­да и ком­пью­те­ры;

– не заря­жать свое устрой­ство с помо­щью чужих ком­пью­те­ров;

– выклю­чать смарт­фон во вре­мя заряд­ки;

– исполь­зо­вать шиф­ро­ва­ние дан­ных.

Смотрите видеоуроки Теплицы по цифровой безопасности: