Bugün öğrendim ki: Juice Jacking'in, bilgisayar korsanlarının telefonları ve akıllı cihazları tehlikeye atmak için halka açık USB şarj istasyonunu kullandığı bir vaka. Ancak, araştırma çabaları dışında güvenilir bir vaka bildirilmemiştir

---

Mobil güvenlik riski

Juice jacking, genellikle USB kablosu gibi şarj ve veri aktarımı için aynı kabloyu kullanan akıllı telefonlar ve tabletler gibi cihazların teorik bir güvenlik açığı türüdür. Saldırının amacı, cihaza kötü amaçlı yazılım yüklemek veya gizlice hassas verileri kopyalamaktır.[1] Nisan 2023 itibariyle, araştırma çabaları dışında juice jacking'in güvenilir bir şekilde bildirilmiş hiçbir vakası yoktur.[2]

Yayınlanmış araştırmalar

[değiştir]

Defcon'daki bir etkinlik olan Duvarın Koyunları, 2011'den beri her yıl Defcon'da bilgilendirici bir juice jacking kioskuna kamu erişimi sağladı. Amacı, bu saldırıyı genel kamuoyuna duyurmaktır. Duvarın Koyunları köyünde kurulu bilgilendirici juice jacking kiosklarının her biri, kullanıcılara cihazlarını kamu şarj kiosklarında takmamaları gerektiğini bildirmek için kullanılan gizli bir CPU içeriyordu. İlk bilgilendirici juice jacking kiosku, "Ücretsiz şarj istasyonu"ndan kullanıcının "cihazlarıyla kamu şarj istasyonlarına güvenmemesi gerektiği" uyarı mesajına geçecek bir ekran içeriyordu.[3] Duvarın Koyunları için şarj istasyonunu tasarlayan araştırmacılardan biri, veri hırsızlığı, cihaz takibi ve mevcut şarj kiosklarının güvenliğini ihlal etme hakkında bilgiler gibi kiosk aracılığıyla yapılabilecek daha kötü amaçlı eylemleri sergileyen kamu sunumları yaptı.[4]

Güvenlik araştırmacısı Kyle Osborn, 2012 yılında saldırganın telefonunu hedef kurbanın cihazına bağlamak için USB On-The-Go kullanan P2P-ADB adlı bir saldırı çerçevesi yayınladı.[5] Bu çerçeve, saldırganların kilitli telefonların kilidini açmasına, kimlik doğrulama anahtarları da dahil olmak üzere telefondan veri çalmasına ve saldırgana hedef cihaz sahibinin Google Hesabına erişim sağlamasına olanak tanıyan örnekler ve kanıt kavramları içeriyordu.

Georgia Tech'ten güvenlik araştırmacısı mezunları ve öğrencileri, 2013 Blackhat USA güvenlik brifinglerinde Apple mobil cihazlarındaki USB şarj portunu kullanan "Mactans" adlı bir kanıt-kavramı kötü amaçlı aracı yayınladılar. Uygun fiyatlı donanım bileşenlerini kullanarak, şarj olurken iPhone'u o zamanki iOS sürümüne kötü amaçlı yazılım bulaştırabilecek küçük boyutlu kötü amaçlı bir duvar şarj cihazı oluşturdular. Yazılım, iOS'e yerleşik tüm güvenlik önlemlerini devre dışı bırakabilir ve Apple'ın iOS'te arka plan işlemlerini gizlediği şekilde kendini gizleyebilirdi.[6]

SRLabs'ten güvenlik araştırmacıları Karsten Nohl ve Jakob Lell, 2014 Blackhat USA güvenlik brifinglerinde BadUSB hakkındaki araştırmalarını yayınladılar.[7][8] Bu saldırı hakkındaki sunumlarında, enfekte bir bilgisayarda şarj olan bir cep telefonu veya tablet cihazının BadUSB güvenlik açığını yaymanın en basit yöntemlerinden biri olacağından bahsettiler.[9] Android cihazlarını BadUSB ile enfekte edecek örnek kötü amaçlı ürün yazılımı kodu içerirler.

Aries Security ve Duvarın Koyunları araştırmacıları, 2016'da juice jacking konseptini yeniden ele aldılar. Telefonlarının ekranını yansıtan kötü amaçlı şarj istasyonlarına takılan telefonlardan kaydedebilen bir "Video Jacking" şarj istasyonu kurdular. O zamanki etkilenen cihazlar arasında USB üzerinden SlimPort veya MHL protokollerini destekleyen Android cihazlar ve Apple Lightning şarj kablosu konektörü kullanan en yeni iPhone yer alıyordu.[10]

Symantec'teki araştırmacılar, 2018 RSA Konferansı sırasında "Trustjacking" adını verdikleri bir saldırı hakkındaki bulgularını açıkladılar.[11] Araştırmacılar, bir kullanıcının USB üzerinden bir iOS cihazında bir bilgisayar için erişimi onayladığında, bu güvenilir erişim seviyesinin Wi-Fi üzerinden erişilebilen cihazın iTunes API'sine de uygulandığını belirlediler. Bu, kullanıcı cihazı kötü amaçlı veya enfekte bir USB tabanlı şarj kaynağından çıkardıktan sonra bile saldırganların bir iOS cihazına erişmesine olanak tanır.

_MG_ takma adıyla bilinen bir araştırmacı, "O.MG Kablosu" adını verdiği bir USB kablo implantı yayınladı.[12] O.MG Kablosu, kabloya gömülü bir mikrodenetleyiciye sahiptir ve görsel inceleme, O.MG kablosunu normal bir şarj kablosuyla ayırt etmeyi muhtemelen mümkün kılmaz. O.MG Kablosu, saldırganların veya kırmızı takım penetrasyon test uzmanlarının Wi-Fi üzerinden kabloya uzaktan komut vermesine ve bu komutların O.MG kablosunun takılı olduğu ana bilgisayarda çalıştırılmasına olanak tanır.

Kamu uyarıları ve popüler kültür

[değiştir]

Brian Krebs, bu saldırıyı ilk bildiren ve "juice jacking" terimini ortaya atan kişidir. Ağustos 2011'de DefCon 19'da Duvarın Koyunları'nda kurulan bilgilendirici cep telefonu şarj kioskunu gördükten sonra, güvenlik gazeteciliği sitesi "Krebs on Security"de ilk makalesini yazdı.[13] Brian Markus, Joseph Mlodzianowski ve Robert Rowley dahil olmak üzere Duvarın Koyunları araştırmacıları, kiosku potansiyel saldırı vektörü konusunda farkındalık yaratmak için bir bilgi aracı olarak tasarladılar ve şarj cihazlarında kötü amaçlı eylemler gerçekleştirmek için araçları tartıştılar, ancak kamuoyuna açıklamadılar.[4]

Eylül 2012'de yayınlanan hacking dizisi Hak5'in bir bölümü, Kyle Osborn tarafından yayınlanan P2P-ADB adlı bir saldırı çerçevesi kullanılarak gerçekleştirilebilecek bir dizi saldırıyı sergiledi. Tartışılan P2P-ADB saldırı çerçevesi, bir telefonun USB On-the-Go bağlantısı üzerinden başka bir telefonu saldırmasını kullanıyor.[14]

2012 yılının sonlarında, Ulusal Güvenlik Ajansı (NSA) tarafından, seyahat eden devlet çalışanlarını juice jacking tehdidi konusunda uyaran bir belge yayınlandı. Belge, okuyucuları yalnızca yurt dışı seyahatleri sırasında kişisel güç şarj kablolarını kullanmaları, kamu kiosklarında şarj olmamaları ve şarj için başkalarının bilgisayarlarını kullanmamaları konusunda uyardı.[15][16]

Mart 2014'te yayınlanan Android Hackers Handbook, hem juice jacking hem de ADB-P2P çerçevesini tartışan özel bölümler içeriyor.[17]

Juice jacking, CSI: Cyber dizisinin bir bölümünün ana odağıydı. 1. sezon: 9. bölüm, "L0M1S", Nisan 2015'te yayınlandı.[18]

Kasım 2019'da, Los Angeles Baş Yardımcı Bölge Savcısı, yaklaşan tatil seyahat sezonu boyunca juice jacking riskleri konusunda kamuoyu duyurusunda bulundu.[19] Bu kamuoyu duyurusu, kamuoyunda bulunan kötü amaçlı şarj kiosklarından kaynaklanan herhangi bir kamu davasının ortaya çıkmaması ve PSA sırasında Los Angeles Bölge Savcılığı yetkisi altında yargılanan herhangi bir ceza davasının olmaması nedeniyle eleştirilerin odağı oldu.[20]

6 Nisan 2023'te FBI Denver X.com hesabı, "kötü niyetli kişilerin kamu USB portlarını kullanmanın yollarını bulduklarını..."[21] belirterek sanki saldırı vektörü yeniymiş gibi bir uyarı yayınladı. Hemen hemen aynı zamanda, FCC, atıf yapmadan birden çok hack girişimi hakkında 2019'da yayınlanan bir uyarıyı güncelledi. "Bazı durumlarda, suçlular şarj istasyonlarına kasıtlı olarak takılı kablolar bırakmış olabilir."[22] Bu güncelleme, 11 Nisan'daki tweet'lerle birlikte, bilgileri gerçekmiş gibi yayan sosyal medya gönderilerine ve internet haberlerine itibar kazandırdı. Bu tehdidin pratikte kullanıldığına dair hiçbir gerçek örnek verilmedi. Orijinal FBI tweet'i belirli istihbarata dayanmıyordu.[23]

Azaltma

[değiştir]

Zaten 2013 yılında hem iOS hem de Android cihazları tehdidi azaltmak için güncellemeler aldı.

Apple'ın iOS'u, USB üzerinden cihazın artık bir sabit disk olarak otomatik olarak bağlanmasına izin vermemesi ve Mactans tarafından kullanılanlar gibi güvenlik açıkları için güvenlik yamaları yayınlaması da dahil olmak üzere USB üzerinden saldırı yüzeyini azaltmak için birden fazla güvenlik önlemi aldı.[6]

Android cihazları genellikle, cihazın USB üzerinden takıldığında bir sabit disk olarak bağlanmasına izin vermeden önce kullanıcıya istemde bulunur. 4.2.2 sürümünde Android, yetkisiz erişimi önlemek için saldırganların Android Debug Bridge'e erişmesini önlemek için bir beyaz liste doğrulama adımı uyguladı.[24]

Donanımla azaltma

[değiştir]

Güvenilir bir AC adaptörü veya yedek pil cihazı ile şarj edilirse veya yalnızca güç kabloları olan bir USB kablosu kullanılırsa juice jacking mümkün değildir. Veri kabloları olan USB kabloları için, cihaz ve şarj portu arasına veri bağlantısına izin vermeyen bir USB veri bloğu (bazen USB prezervatifi olarak adlandırılır)[25] bağlanabilir.[26]