Aurich Lawson | Getty Resimleri
Federal yetkililer, teknoloji uzmanları ve haber kaynakları, telefonunuzu halka açık bir şarj istasyonuna takmaktan başka bir şey yapmadığınızda telefonunuzu hackleyebilecek korkunç bir siber saldırıya karşı tetikte olmanızı istiyor. Tehdit olarak bilinen bu “meyve suyu hırsızlığı” uyarıları, on yıldan fazla bir süredir ortalıkta dolaşıyor.
Bununla birlikte, bu ayın başlarında, FBI ve Federal İletişim Komisyonu yüzlerce satış noktasından kulağa uğursuz gelen haberlere neden olan yeni, asılsız uyarılar yayınladığında, meyve suyu hırsızlığı korkuları yeni bir zirveye ulaştı. NPR, suçun “muhtemelen seyahatteki artış nedeniyle daha yaygın hale geldiğini” bildirdi. Washington Post, yüklenen web sayfalarını 10 saniyeden daha kısa sürede tanımlayabilen “önemli bir gizlilik tehlikesi” olduğunu söyledi. CNN, yalnızca kötü amaçlı bir şarj cihazına takmanın “cihazınıza artık virüs bulaştığı” konusunda uyardı. Ve bir Fortune manşeti okuyucuları uyardı: “Ücretsiz bir USB şarjının banka hesabınızı boşaltmasına izin vermeyin.”
Halley Kuyruklu Yıldızı siber güvenlik korkutuyor
Meyve suyu hırsızlığı senaryosu şuna benzer: Bir bilgisayar korsanı, bir havaalanında, alışveriş merkezinde veya otelde ekipman kurar. Ekipman, insanların cep telefonlarını şarjları azaldığında şarj etmelerini sağlayan normal şarj istasyonlarının görünümünü ve işlevlerini taklit ediyor. Kullanıcıların haberi olmadan, şarj istasyonu, şarj kablosunun USB veya Lightning konektörü üzerinden gizlice komutlar gönderir ve kişileri ve e-postaları çalar, kötü amaçlı yazılım yükler ve diğer her türlü alçakça şeyi yapar.
FCC, bu ayın başlarında “Bozuk bir USB bağlantı noktası aracılığıyla yüklenen kötü amaçlı yazılım, bir cihazı kilitleyebilir veya kişisel verileri ve parolaları doğrudan faile verebilir” uyarısında bulundu. “Suçlular daha sonra bu bilgileri çevrimiçi hesaplara erişmek veya diğer kötü kişilere satmak için kullanabilir. Bazı durumlarda, suçlular kasıtlı olarak kabloları şarj istasyonlarına takılı bırakmış olabilir. Hatta virüslü kabloların promosyon hediyesi olarak dağıtıldığına dair raporlar bile var.”
Birkaç gün önce, FBI’ın Denver saha ofisi raporunu yayınladı. kendi meyve suyu kriko uyarısı, kısmen şöyle yazıyor: “Kötü aktörler, cihazlara kötü amaçlı yazılım ve izleme yazılımı yerleştirmek için genel USB bağlantı noktalarını kullanmanın yollarını buldu.” Michigan Başsavcısı Dana Nessel, meyve suyu hırsızlığının “kötü aktörlerin keşfettiği, kendilerine ait olmayan şeyleri çalmalarına ve bunlardan kâr elde etmelerine izin veren başka bir hain yol olduğunu” söyledi.
Hükümet iletişimlerinin aksine, siber güvenlik uzmanlarının büyük çoğunluğu Olumsuz ulus devlet bilgisayar korsanlarının hedefi olmadığınız sürece meyve suyu hırsızlığının bir tehdit olduğu konusunda uyarın. Var HAYIR belgelenmiş meyve suyu kriko vakaları durmadan vahşi doğada gerçekleşiyor. Önerilerin dışında kalan, modern iPhone’ların ve Android cihazların, standart kablolarla bağlanan bir cihazla dosya alışverişi yapmadan önce kullanıcıların açık bir uyarıyı tıklamasını gerektirmesidir.
-
Bir iPhone’u prize takarken görülen ilk uyarı.
-
Bir şifre gerektiren aşağıdaki ekran.
-
Pixel 7 takıldıktan sonra görülen ilk uyarı.
-
Aşağıdaki ekran.
Saldırgan bilgisayar korsanlığı araçları tasarlayan bir araştırmacı olan Mike Grover, “Yüksek düzeyde, eğer hiç kimse bunun gerçekten kamusal alanlarda meydana geldiğine dair gerçek dünyadan bir örneğe işaret edemiyorsa, o zaman bu genel halk için üzerinde durmaya değecek bir şey değildir.” bir röportajda büyük şirketler için saldırı amaçlı bilgisayar korsanlığı araştırması yaptığını söyledi. “Bunun yerine, yalnızca hedeflenen durumlar için uygulanabilirliğe işaret ediyor. Umuyoruz ki bu risk altında olan insanlar belirsiz bir uyarıdan daha iyi savunmalara sahiptir.”
“İnsanların halka açık şarj cihazlarının voltajını kasıtlı olarak değiştirdiklerini duydum, ama bu sadece aptalca, kötü niyetli şeyler. Halka açık şarj kaynakları söz konusu olduğunda, daha büyük bir riskin boktan güç kalitesi ve hasarlı konektörler olduğunu düşünüyorum.”
Klavyelerin (veya klavye kılığına giren aygıtların) bir iPhone ve Android aygıtına bağlandıklarında kötü amaçlı şeyler yapan komutlar girmesine izin veren uç durumlar vardır. Ancak bu saldırılar, takılı olan her farklı telefon modeli için özelleştirilmelidir. Ek olarak, bu tür tekniklerin önemli sınırlamaları vardır ve bu da onları meyve suyu hırsızlığı için pratik olmaktan çıkarır.
Bu Edge vakaları ve eksiklikleri hakkında daha sonra daha fazla bilgi edineceğiz. Uzun lafın kısası şu: Son beş yılda hiç kimse iOS veya Android’in modern bir sürümünü çalıştıran bir cihaza uygulanabilir bir meyve suyu kriko saldırısı göstermedi. Apple temsilcileri, vahşi ortamda meydana gelen bu tür saldırıların farkında değiller (Google temsilcileri çok sayıda yorum talebine yanıt vermedi) ve ben de herhangi bir güvenlik uzmanı bulamadım. Ve daha önce de belirtildiği gibi, vahşi doğada meydana gelen belgelenmiş hiçbir meyve suyu kriko vakası yoktur.
