Video: Er dreigt een tekort aan laadpalen • Z zoekt uit (November 2024)
Voor de komende Black Hat-conferentie heeft met name de samenvatting voor één lezing de aandacht getrokken. Daarin zeggen onderzoekers dat ze een onschuldig ogend openbaar laadstation zullen demonstreren dat de controle over je iOS-apparaat kan grijpen.
Andy Greenberg at Forbes vestigde onze aandacht eerst op de aanstaande presentatie getiteld "Mactans: malware injecteren in iOS-apparaat via kwaadaardige opladers." Auteurs Billy Lau, Yeongjin Jang en Chengyu Song schrijven dat hun kwaadaardige oplader - de zogenaamde "Mactans" - is gebouwd op een BeagleBoard, drie-inch vierkante single-board computer van Texas Instruments. Dit zou niet passen in de kleine AC-adapter van Apple, maar de onderzoekers schrijven dat hun prototype met een "beperkte hoeveelheid tijd en een klein budget" is gemaakt. Ze suggereren ook dat een toegewijde aanvaller het nog beter zou kunnen doen.
"We hebben onderzocht in hoeverre rekening werd gehouden met beveiligingsrisico's bij het uitvoeren van dagelijkse activiteiten, zoals het opladen van een apparaat, " schrijven de onderzoekers. "De resultaten waren alarmerend: ondanks de overvloed aan afweermechanismen in iOS, hebben we met succes willekeurige software geïnjecteerd in Apple-apparaten van de huidige generatie met het nieuwste besturingssysteem (OS)."
De aanval treft naar verluidt alle iOS-gebruikers, vereist niet dat het slachtoffer een jailbreak-apparaat heeft en kan binnen een minuut worden uitgevoerd. Naast het beschrijven van hoe de ingebouwde beveiliging van Apple te omzeilen, schrijven de onderzoekers dat ze ook een middel in kaart hebben gebracht om een lopende malware-infectie te vergemakkelijken. "Om te zorgen dat de resulterende infectie blijft bestaan, laten we zien hoe een aanvaller zijn software kan verbergen op dezelfde manier waarop Apple zijn eigen ingebouwde applicaties verbergt", aldus de onderzoekers.
Sluipen de elektronen binnen
Dit is niet de eerste keer dat openbare laadpalen worden uitgekozen als mogelijk gevaar. Krebs on Security merkte op dat Aires Security op DefCon 2011 een openbaar laadstation heeft opgezet met een vergelijkbaar doel. Wanneer er geen telefoons waren aangesloten, gaf dit een uitnodigend blauw bord weer. Nadat iemand zijn telefoon had aangesloten, schakelde het over op een felrode waarschuwing.
Het oplaadstation van Aires Security was meer een proof-of-concept - en ook een goedaardige. In plaats van uw gegevens te stelen of schadelijke software te installeren, flitste het in plaats daarvan een bericht: "U moet openbare kiosken niet vertrouwen met uw smartphone. Informatie kan worden opgehaald of gedownload zonder uw toestemming, " zei een teken op de kiosk. "Gelukkig voor u heeft dit station de ethische route gevolgd en zijn uw gegevens veilig. Geniet van de gratis kosten!"
Batterijen op laptops zijn ook aangehaald als een potentiële aanvalsvector. Ook in 2011 presenteerde beveiligingsonderzoeker Charlie Miller zijn zaak voor het richten van de batterij-microcontrollers in Apple-laptops. Miller gelooft dat de firmware van de batterij kan worden herschreven om oververhit te raken en de laptop fysiek te beschadigen, of zelfs als een vector kan worden gebruikt om schadelijke code in de computer uit te voeren.
Gelukkig worden al deze argumenten gepresenteerd in een academische context. De onderzoekers van Mactans hebben naar verluidt contact opgenomen met Apple met hun werk, hoewel ze (niet verrassend) nog niets hebben gehoord. Dat gezegd hebbende, wilt u misschien op uw eigen oplaadapparatuur vertrouwen. Voor de zekerheid.
