Kiinalaisen tietoturvayrityksen KnownSecin varavirtalähde eli powerbank on suunniteltu tekemään paljon ikäviä asioita käyttäjältä piilossa, kiinalainen blogi Mrxn selvitti (kiinaksi). Havainnoista uutisoi muun muassa Cyber Press.

Knownsecin asiakirjoissa esitetään tekniset määritelmät kehittyneille laitepohjaisille hyökkäystyökaluille, joiden joukossa on tätä varten suunniteltu varavirtalähde. Sen tehtävänä on varastaa tietoja salaa uhrien järjestelmistä.

Varavirtalähteen mallia ei mainittu, eikä Knownsec listaa sellaista tuotetta verkkosivuillaan. On epäselvää, onko vuotaneissa tiedoissa esitelty varavirtalähde jo todellinen tuote vai ainoastaan suunnitelma sellaisen rakentamiseksi.

Tiedot varavirtalähteestä perustuvat mittavaan Knownsecin kärsimään tietovuotoon 2. marraskuuta tänä vuonna. Yrityksellä on tiettävästi vahvat siteet Kiinan hallitukseen.

https://cyberpress.org/chinese-data-breach/

Kyberturvallisuuden ratkaisuja kehittävän Arctic Wolfin mukaan niin sanottu juice jacking -hakkerointi eli mehutus on yllättävä tiedonkalastelun muoto. Yhtiö kehottaakin kaikkia varovaisuuteen julkisia latauspaikkoja käyttäessään.

Julkiset USB-liitännöin varustetut latauspaikat ovat yleistyneet viime vuosina valtavasti. Lentokentät, ostoskeskukset, ravintolat ja jopa monet julkiset kulkuneuvot junista linja-autoihin mahdollistavat monien laitteiden lataamisen pelkällä USB-johdolla. Myös hakkerit ovat huomanneet tämän. Tämä mahdollistaa puhelimen hakkeroinnin latauspaikan kautta. Keinoa onkin käytetty hakkerien omiin rikollisiin tarkoituksiin. Houkutus käyttää näennäisesti vaarattoman näköistä latausmahdollisuutta voi altistaa oman älylaitteen haittaohjelmille tai muulle väärinkäytölle.

Ladattavan laitteen virtaa kutsutaan monesti englanniksi juiceksi eli suomennettuna mehuksi. Tästä tulee käsite juice jacking, jota voi suomeksi kutsua vaikkapa mehuttamiseksi. Käytännössä sähkövirran kautta tapahtuva lataus kaapataan ulkopuolisen omaan käyttöön datakaapelin kautta, joka vaarantaa käyttäjän laitteen ja täten myös tietoturvan.

Suomessa mehutus on vielä melko harvinaista, mutta suuremmissa ulkomaisissa kaupungeissa tällaiselle altistuminen on suurempi riski. Etenkin isot käyttäjämäärät houkuttelevat rikollisia uusien mahdollisuuksien äärelle. Vaikka vahvistettuja tapauksia on vielä varsin vähäinen määrä, on tärkeää valistaa kuluttajia tällaisesta riskistä. Latauspaikkoja tulee yhä enemmän julkisiin paikkoihin.

Yksi tämänkaltaisia hakkerointitapoja hidastava seikka on sen suhteellinen tehottomuus suhteessa vaivaan. Latauspaikan muokkaaminen on vaikeaa ja vaatii fyysisiä toimenpiteitä, toisin kuin esimerkiksi verkon yli tapahtuvat tiedonkalasteluyritykset. Ilmiö kuitenkin herättää huolta, sillä ihmisten riippuvuus ladattavista älylaitteista on nousussa. Jopa noin 53 prosenttia eurooppalaisista käyttää älypuhelintaan ensisijaisena viihde- ja työvälineenä matkustaessaan.

On myös tärkeä ymmärtää vaarantuneen latauspaikan riskit. Suurimpia näistä ovat hakkerin pääsy henkilökohtaisiin tietoihin, kuten yhteystietoihin, valokuviin, sähköposteihin ja salasanoihin. Lisäksi hakkeri voi halutessaan asentaa haitta- tai vakoiluohjelmia tai vaihtoehtoisesti lukita laitteen ja vaatia lunnaita sen avaamiseksi.

Toimenpiteet mehutuksen varalle ovat melko yksinkertaisia. Latauksessa voi käyttää esimerkiksi pelkkää lataamiseen tarkoitettua kaapelia, joka estää tiedonsiirron usb-väylästä. Vaihtoehtoisesti puhelinta voi ladata omasta varavirtalähteestä tai pistorasiasta puhelimen omaa laturia käyttämällä. Erityisesti sellaisia usb-latauspaikkoja kannattaa välttää, joissa näkyy irrallisia johtoja tai joissa latauspaikan kansi on irrallaan. Myös erikseen hankittava datablokkerilaite kaapelin ja latauspaikan välissä estää tiedonsiirron.

Puhelimen lataamiseen usb-yhteydellä kodin ulkopuolella liittyy riski, josta moni ei ole lainkaan tietoinen. Pahimmassa tapauksessa usb-latauspisteestä voi saada puhelimeensa haittaohjelman tai useamman.

Uhka perustuu siihen, että usb-johto välittää sekä sähköä että dataa. Jos usb-latauspistettä on peukaloitu, se voi työntää puhelimeen asiattoman ohjelman esimerkiksi kiristämistä tai näppäilyn seurantaa varten.

Julkisten paikkojen usb-latauspisteisiin liittyvät riskit ovat olleet tiedossa jo yli vuosikymmenen. Ilmiöstä käytetään englanniksi nimitystä juice jacking.

Sekä Android-puhelimen että Iphonen omistajan pitää nykyään antaa lupa siihen, että puhelinta voi ohjailla usb-yhteyden kautta. Muutoksen tarkoitus on estää usb-latauspisteiden käyttö laittomuuksiin.

Ainakin Samsung Galaxy -puhelimissa voi myös nimenomaisesti estää puhelinta ottamasta vastaan usb-johdon kautta muuta kuin virtaa. Auto Blocker -ominaisuus löytyy niistä painelemalla Asetukset > Tietoturva ja tietosuoja > Automaattinen esto.

Auto Blocker -ominaisuus estää samalla sovellukset, jotka eivät ole peräisin virallisista lähteistä. Näin usb-johdon kautta ehkä tulevat haitakkeet eivät voi asentua puhelimeen.

Tiedotteessaan Samsung huomauttaa, että riskien välttämiseksi puhelimen lataamista kannattaa välttää tuntemattoman latauslähteen äärellä.

Jos puhelimen akun kestoon kodin ulkopuolella ei luota, kannattaa hankkia käyttöön niin sanottu datablokkeri turvallista lataamista varten.

Datablokkeri eli ”usb-kondomi” katkaisee datan liikkumisen puhelimen ja latauspisteen välillä, mutta virta kulkee sen läpi normaalisti. Laite maksaa muutamasta eurosta pariin kymppiin.

Attackers can alter the firmware of fast charger devices to deliver extra voltage and damage connected equipment.

Chinese security researchers said they can alter the firmware of fast chargers to cause damage to connected (charging) systems, such as melt components, or even set devices on fire.

The technique, named BadPower, was detailed last week in a report published by Xuanwu Lab, a research unit of Chinese tech giant Tencent.

According to researchers, BadPower works by corrupting the firmware of fast chargers

A fast charger looks like any typical charger but works using special firmware. This firmware “talks” to a connected device and negotiates a charging speed, based on the device’s capabilities.

If a fast-charging feature is not supported, the fast charger delivers the standard 5V, but if the device can handle bigger inputs, the fast charger can deliver up to 12V, 20V, or even more, for faster charging speeds.

The BadPower technique works by altering the default charging parameters to deliver more voltage than the receiving device can handle, which degrades and damages the receiver’s components, as they heat up, bend, melt, or even burn.

When the user connects their infected smartphone or laptop to the fast charger, the malicious code modifies the charger’s firmware, and going forward the fast charger will execute a power overload for any subsequently connected devices.

RESEARCHERS TESTED 35 FAST CHARGERS, FOUND 18 VULNERABLE
The Tencent team said they verified their BadPower attack in practice. Researchers said they selected 35 fast chargers from 234 models available on the market and found that 18 models from 8 vendors were vulnerable.

The good news is that “most BadPower problems can be fixed by updating the device firmware.”

Researchers said that 18 chip vendors did not ship chips with a firmware update option, meaning there was no way to update the firmware on some fast charger chips.

Suggestions to fix the BadPower problem include hardening firmware to prevent unauthorized modifications, but also deploying overload protection to charged devices.

A demo video of a BadPower attack is available at the bottom of the Tencent report

https://xlab.tencent.com/cn/2020/07/16/badpower/

I know the feeling: Your battery is low, but you have to keep tweeting. You see a USB port or an outlet in public, plug in your device and feel the sweet relief of your phone charging.

That comfort could be shattered by an invisible attacker collecting information while your phone is plugged in to a hacked outlet.

“Just by plugging your phone into a [compromised] power strip or charger, your device is now infected, and that compromises all your data,” Drew Paik of security firm Authentic8 explained. Authentic8 makes Silo, a secure browser that anonymizes web activity.

Public charging stations and wi-fi access points are found in places like airports, planes, conference centers and parks, so people can always have access to their phones and data. But connecting your phone to an unknown port has its risks.

The cord you use to charge your phone is also used to send data from your phone to other devices.

If a port is compromised, there’s no limit to what information a hacker could take, Paik explained.

And yet despite the risks, people do it all the time. Even at prominent security conferences.

The company ran an informal social experiment to see how many people would use the public charging stations. Paik said an overwhelming number of attendees — about 80% — connected their phones without asking about the security.

“The majority are plugging in no problem. They are at a security conference and they should know better, but they probably feel safe,” he said. “The others are making fun of them. They just walk by and say, ‘Do people really do that?’”