به گفته شرکت کسپرسکی شارژ کردن دستگاه‌های تلفن همراه نیز می‌تواند خطرآفرین باشد!

کارشناسان آزمایشگاه کسپرسکی آزمایشی را انجام داده‌اند تا نشان دهند که شارژ کردن دستگاه تلفن همراه با یک وسیله‌ی غیرقابل اطمینان و یا رایانه‌ی شخصی می‌تواند تا چه حد خطرناک باشد.
یک کار ساده همچون شارژ کردن گوشی تلفن همراه می‌توان موجب ایجاد خطراتی جدی برای کاربران می‌شود. در حالی‎که صاحب دستگاه‌های تلفن همراه،‌ با یک کابل استاندارد، ‌این دستگاه‌ها را به رایانه‌ی شخصی متصل کرده است،‌ این وسیله‌ها ممکن است مورد نفوذ قرار گیرند.
پیدا کردن مکان‌هایی برای دسترسی و شارژ کردن تلفن همراه در اماکن عمومی همچون فرودگاه‌ها، ‌کافه‌ها و مکان‌های حمل و نقل عمومی آسان است اما کاربران اغلب خطرات آن‎ها را در نظر نمی‌گیرند.

کارشناسان امنیتی شرکت کسپرسکی با استفاده از یک آزمایش اثبات مفهومی نحوه در خطر قرار گرفتن در برابر چنین حملاتی را تشریح کرده‌اند.
این کارشناسان تعدادی گوشی هوشمند که نسخه‌های مختلفی از سامانه عامل‌های اندروید و iOS بر روی آن‎ها نصب بوده است را مورد بررسی قرار دادند تا دریابند هنگامی که این دستگاه‌ها به رایانامه متصل هستند، چه نوع اطلاعاتی را می‌توان از آن‎ها استخراج کرد.
نتایج این آزمایش‌های بسیار جالب توجه بوده است، دستگاه‌های گوشی هوشمند، هنگام اتصال به رایانه و به ویژه در «مرحله‌ی دست‌دهی» اطلاعات زیادی را با آن، به اشتراک می‌گذارند. این محققان دریافتند که ممکن است بتوان اطلاعات بسیار زیادی را در حین شارژ شدن دستگاه جمع‌آوری کرد از جمله این اطلاعات می‌توان این موارد زیر را عنوان کرد: DN: نام دستگاه، DM: سازنده دستگاه، DT: نوع دستگاه، SN: شماره سریال دستگاه، FW: داده‌های مربوط به سفت‌افزار دستگاه، OS: اطلاعات سامانه عامل دستگاه، FS: فهرست پرونده‎ها یا اطلاعات سامانه‎ای دستگاه و ECID: شناسه تراشه الکترونیکی دستگاه

در سال ۲۰۱۴ و در طی کنفرانس نفوذگران کلاه سیاه، محققی به نام اندره پریرا نشان داد که به سادگی ممکن است یک گوشی هوشمند را تنها با اتصال آن به یک منبع شارژ تقلبی آلوده کرد.
این محقق از دستورات AT استفاده کرد که معمولاً در مودم‌های دستگاه‌های موبایل استفاده می‌شود تا گوشی‌ها را در معرض خطر قرار دهند.
کارشناسان کسپرسکی از همان تکنیک‌ها برای به خطر انداختن گوشی‌های هوشمند استفاده کردند و در این کار از یک رایانه شخصی و یک کابل میکرو USB استاندارد استفاده کردند. این کارشناسان از مجموعه‌ای از دستورات AT برای فلش کردن دوباره گوشی هوشمند و نصب پنهانی یک نرم‌افزار روت برای به دست آوردن کنترل کاملی گوشی هوشمند استفاده کردند.

این محققان متوجه شدند که حوادثی که مربوط به منابع شارژ دستگاه‌ها می‌شوند در دنیای بیرون گزارش داده نمی‌شود در عین حالی‎که شرکت‌های امنیتی حملاتی سایبری را با تکیه بر این روش‌های حمله نشان داده‌اند.
این تکنیک به وسیله‌ی گروه Hacking Team برای انجام حملات خود استفاده شد و همچنین گروه Red October APT نیز از آن استفاده کرده است.
این کارشناسان شرح داده‌اند که کسب اطلاعات موجود در دستگاه‌های موبایل متصل به رایانه شخصی به هکرها اجازه می‌دهد تا بتوانند بهره‌برداری‌های خاصی را در این دستگاه‌ها استفاده کرده و آن‎ها را در خطر قرار دهند.

الکسی کوماروف از محققان آزمایشگاه کسپرسکی می‌گوید:‌«عجیب است که می‌بینیم نزدیک به دو سال بعد از انتشار یک آزمایش اثبات مفهومی در مورد چگونگی آلوده شده یک گوشی هوشمند از طریق رابط USB، این نوع آزمایش هنوز هم کار می‌کند. خطرات امنیتی در اینجا مشخص هستند: اگر شما یک کاربر معمولی باشید از طریق شناسه‌ی دستگاه خود قابل ردیابی هستید؛ دستگاه شما در سکوت کامل می‌تواند با هر چه از ابزارهای تبلیغاتی گرفته تا باج‌افزارها آلوده شود و اگر یکی از تصمیم‌گیرندگان یک شرکت باشید، ممکن است به آسانی مورد حمله‌ی نفوذگران حرفه‌ای قرار گیرید. جالب‌تر اینکه شما حتی نیازی ندارید که برای انجام چنین حملاتی مهارت‎های بالایی داشته باشید،‌ همه‌ی آنچه را که شما برای انجام این حملات نیاز دارید می‌توانید از اینترنت به دست بیاورید».

به طور خلاصه آلوده شدن دستگاه در حین شارژ بسیار آسان است، بنابراین از توصیه‌های شرکت کسپرسکی پیروی کنید:
– تنها از منابع شارژ قابل اطمینان و رایانه‌های مطمئن برای اتصال دستگاه خود استفاده کنید.
– گوشی هوشمند خود را با یک رمز عبور حفاظت کنید و هنگامی که در حال شارژ شدن است، آن را در حال قفل نشده رها نکنید.
– از فناوری‌های رمزنگاری و ابزارهایی که در آن گوشی‌های هوشمند اطلاعات حساس را جدا نگه می‌دارند برای حفاظت از داده‌های خود استفاده کنید.
– هم گوشی هوشمند و هم رایانه شخصی خود را از کمک راه‌‌حل‌های امنیتی اثبات شده در برابر بدافزارها حفاظت کنید. این کار به شما کمک خواهد کرد تا حتی اگر از یک شارژر آسیب‌پذیر استفاده کنید، باز هم بتوانید آن را تشخیص دهید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.