Зарядка смартфона как угроза утечки информации

6 Марта 14:40
Алексей Лукацкий
На RSAC достаточно популярным было наличие зарядных станций на стендах участников выставка. Оно и понятно, аккумулятор при активном использовании уходит в ноль за полдня и остро встает задача зарядки своего мобильного устройства.

На стендах же вы часто тратите по 10-15 минут, общаясь с представителями компаний и за это время вы вполне можете поднять зарядку своего смартфона на 10%. Тут 10%, там 10%... Глядишь, аккумулятор вновь полный


2_18

Только мы не так уж и часто задумываемся о том, что подключая свои носители конфиденциальной информации к таким зарядным станциям, мы не только получаем от них электрический ток, но и можем отдавать информацию, которая хранится на устройстве. Ведь обычно для зарядки используется тот же самый кабель, что и для синхронизации, а он подразумевает двустороннее взаимодействие со всеми вытекающими отсюда угрозами. Правда, для этого, вы должны "доверять" компьютеру, который захочет получить доступ к информации на вашем компьютере, что требует определенных действий от пользователя (по крайней мере на iOS это так). Но где гарантия, что этот механизм "доверия" нельзя обойти? А может быть на мобильном устройстве его и вовсе нет?

Я специально для таких задач ношу с собой внешнюю батарею, которой хватает на несколько циклов зарядки. Но понятно, что это бывает не всегда. Кому-то лень таскать с собой дополнительный аккумулятор, кто-то забыл его подзарядить, а кто-то понадеялся на то, что батареи хватит на весь день. Но не срослось и вот перед нами задача зарядки нашего устройства через недоверенную зарядную станцию. Что делать?

3_12

В этом году на RSAC была модной вот такая сувенирка (нарядку со шторками для камеры ноутбука). Специальные зарядные кабели, у которых физически отсутствует возможность синхронизации. Дешево, практично и безопасно.

4_08

5_05

В одном случае я получил вот такое вот изделие, суть которого та же, что и у односторонних кабелей, но вот удобство на порядок ниже. Ведь помимо этого устройства, предотвращающего синхронизацию, мне все равно понадобится кабель для зарядки.

6_04

Но помните, что для удовлетворения потребностей посетителей конференций и выставок, а также для их удобства, часто стали предлагать вот такие зарядные станции с интегрированными кабелями разных типов (micro-USB, mini-USB и др.).

7_04
В таком случае представленные выше варианты защиты не подойдут. Исключая ситуацию с зарядкой USB-USB; тогда устройство на предпоследней фотографии подойдет как нельзя лучше. Если бы такие были для всех типов интерфейсов, то проблема была бы решена. В любом случае стоит помнить об этом риске и быть заранее готовым к управлению им. Не исключаю, что скоро появятся желающие протестировать безопасников на уровень их параной путем установки зарядной станции на какой-нибудь конференции или выставке по ИБ :-) Ведь фальшивые точки доступа регулярно ставят на мероприятиях по ИБ, а потом делятся временами забавными результатами. Так, кстати, было и в этот раз - почти пятая часть всех участников RSAC подцепилась на фальшивую точку доступа.

Публикуется с разрешения автора

Комментарии:

НОВЫЕ СТАТЬИ

МУК становится дистрибутором Stratus
По материалам МУК 19 Апреля 15:06
Software AG празднует 25-летие ARIS
По материалам Software AG 18 Апреля 15:43