USB "óvszer" a "juice jacking" ellen

 ( trey | 2013. szeptember 16., hétfő - 17:31 )

Aki ismeretlen USB porton keresztül tölti telefonját, tabletjét, azt akár meglepetések is érhetik. Nemrég volt szó éppen egy ilyen támadási formáról. Azok számára, akik kénytelenek eszközüket ismeretlen számítógépen, USB porton, nyilvános töltési pontokon tölteni és nem szeretnének juice jacking áldozatává válni, egy holt egyszerű elektronikai eszközt tervezett az int3.cc.

Az eszközök összefoglaló neve USB Condoms, vagyis USB óvszerek.

USB Condoms

A cég a Twitter-en jelentette be, hogy ezen a héten elkezdni árusítani eszközeit. A cucc iránt akkor lett az érdeklődés, hogy azonnal elfogyott. A következő adag szeptember 16-án érkezik.

A védelmi eszközök honlapja itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

ha androidon kiválasztom az USB beállításainál, hogy "charge only", az mennyire véd?

sub

“One attendee claimed his phone had USB transfer off and he would be fine. When he plugged in, it instantly went into USB transfer mode,” Markus recalls. “He then sheepishly said, ‘Guess that setting doesn’t work.’”

Ugyanarról a funkcióról van szó?

Ilyen "charge only" funkciót én főleg HTC telefonokon láttam eddig. Pl.: Samsungokon meg Nexusokon nem. De lehet csak én nem kerestem eléggé. Amúgy nem is értem, miért nem úgy lett alapból leimplementálva ez az egész, hogy a charge only a default és meg kell nyomnom egy gombot az MTP-hez...

A BlackBerry eleve ilyen menüt dob fel, amikor radugom usb-n, hogy megosztás, szinkronizálás vagy töltés. töltés eseten pedig a PC-n a felmountolt megosztasok nem tallozhatok.
--
zsebHUP-ot használok!

troll:on
A BlackBerryt nem fenyegeti ilyen veszély, mert egy támadó se gondolná, hogy van még user aki használja.
Mindig a legpopulárisabb termékek vannak célkeresztben :)
troll:off
--------------
“If there were no hell, we would be like the animals. No hell, no dignity.”

flame:on
Pedig aki egyszer használt huzamosabb ideig BB-t, az nem nagyon akar Androidozni utána ... legalább is a saját példámból kiindulva :-P
flame:off

Szerintem ez nagyjából minden jelenlegi !Android mobil OS-re igaz :)

Nagyon hiteles ezt pont tőled olvasni. Ezt az Android gyűlöletet nálad már kezeltetned kellene egy pszichiáterrel. :-)

Mondjuk ha így nem is, de azért abban igaza van, hogy alsó-közép kategóriás android telefonokat a hasonló árban lévő nem androidos telefonok
rommá verik stabilitásban és sebességben. A közép-felső kategóriában már kicsit más a helyzet, de mondjuk nem gondolnám, hogy egy 100 ezer forintos
telefonnak laggolnia kellene...

Ez a stabilitási és sebességproblémával küszködő alsó-közép android telefon olyan mint a főnix madár és a női hűség: mindenki beszél róla de még senki sem látta! :-)

Az alsó-közép alatti árú kínai mobilokkal tele vannak a magyar infós fórumok, itt is van egy nagyon pörgő topic erről. Igen pozitívak az tapasztalatok velük kapcsolatban. Számtalan teszt-cikk született pozitív konklúzióval. Éppen a jó sebesség amit kiemelnek és stabilitásra sincs panasz.

Bemész a Saturn-ba, és tetszőleges Samsung telefonnál lehet reprodukálni. Nyilván a kínai olcsósított telefon, áfa nélkül egy másik kategória.

Melyik országban?

Ja, bocs, már Media Markt lett. De tök mindegy, tetszőleges boltban, ahol végig lehet nyomkodni a telefonokat, anélkül, hogy kinéznének..

Az nem az Android hibája, hogy a Samsung szar...

--
openSUSE 12.2 x86_64

Igen, ez minden vitában előkerül. Inkább úgy mondanám, hogy az Android _önmagában_ jó (vagy legalábbis nem rossz), csak éppen tízből nyolcszor elbaszarint valamit a telefongyártó. És mielőtt megkérdezi valamelyik okostojás, hogy ez reprezentatív-e: nyilván nem, tapasztalati úton létrejött adat.

Ez olyan, mint a PHP. Önmagában nem rossz, bár be lehet bizonyítani tervezési hibákat benne, de attól még használható lenne. Viszont ha elkezdenek gányolni benne, annak sosem lesz jó vége.

Azt például pont nem tudom figyelembe venni, hogy a stock android milyen jó, ha amúgy jogosan jön a "hardvert venni tudni kell" című érv. Az azt jelenti, hogy nem consumer piacra lett optimalizálva a cucc, hanem a jó ég tudja mire.

Nekem van Samsung és nem vagyok valami elégedett felhasználója... Talán az egyetlen előnye, hogy a Sonymnak nem "többkezes" a kijelzője. (bár hardverben elvileg tudja). azt mondjuk nem merem kijelenteni, hogy az x8-om tökéletes, mert van mikor falra mászok tőle, hogy alulmértezték a RAMot benne. De pl. nem fagy le, ha valaki hívna, mint ahogy teszi azt a Samu...

--
openSUSE 12.2 x86_64

+1. A Samsungok szépek kívülről, az árazásuk is rendben van, elsőre jónak is tűnnek, aztán amikor elkezdi az ember használni, akkor úgy érzi, hogy ő van
a telefonért, nem fordítva. Firmware upgrade nincs, ha hiba van, akkor sem, főzött ROM se jobb, azzal is gondok vannak. Egyszerűen nem hiszem el, hogy így
kell működnie egy telefonnak, és már 4 magos proci kell hozzá, hogy egy egyszerű scrollozás ne akadjon széjjel..

Csak saját tapasztalatokról tudok beszámolni: android előtti korokból származó telefonjaimhoz összesen találtam egy, azaz egy darab firmware frissítést, azt is a nokiától.
A Samsungom egy hónapos, a kijelző fényerejét (utcán, árnyékmentes helyen) leszámítva, meg a szokásos "kevés az akku kapacitása" témától eltekintve, eddig nem volt vele komoly bajom.
Igaz, én telefonnak és e-book olvasónak használom elsődlegesen.


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Samsung? Hát max monitort vennék ebből a márkából, telefont soha.
És nem az Android miatt, ha jobban belegondolok soha nem néztem semmibe.

--------------
“If there were no hell, we would be like the animals. No hell, no dignity.”

ezek azért elég nyomós érvek

Ki akar itt érvelni?
Nem akarok én meggyőzni senkit, mindenki azt gondol amit akar.
Csak leírtam a véleményem.

--------------
“If there were no hell, we would be like the animals. No hell, no dignity.”

Nem akarok én meggyőzni senkit
Csak leírtam a véleményem

de miért nem a /dev/null-ba?

Mert ez egy fórum ami erre való :)
Te is nézhetnél valami hasznosabbat a trollkodásnál.
Játssz az Angry Birds-el a Samsungodon...
--------------
“If there were no hell, we would be like the animals. No hell, no dignity.”

mindenki beszél róla de még senki sem látta!

még senki sem látta!

Nem.

Én láttam, hasznátlam is egyet. De azért van különbség az egy-két évvel ezelőtti és a mostani "gagyidroid" felhozatal között, a kínai kiciócók is sokkal minőségibbek mostanában - legalább is ezt olvasni mindenhol.

Nekem annyi elég volt hogy adatot mentettem róla, és utána az email címhez tartozó jelszót már nem tudta ugyanarra a készülékre visszatölteni.

+1, a páromnak samsungja van (galaxy s3 mini), hát az egy kalap szar androidostól, hardverestől egy középkategóriás bb-hez képest és ezt a véleményt ő is osztja (bb-je volt előtte neki is, csak lecserélte a cég ezekre a gagyifonokra).

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

lol, nem azért nem fenyegeti amiért te gondolod, hanem mert ott legalább évekkel ezelőtt megoldották ezt az elemi problémát, az androiddal ellentétben. az pedig hogy mi populáris és mi nem, nem az adott márka minősége határozza meg.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

nekem csak akkor látja a gép(win7/xp) a telefont ha feloldom a billzárat. (sgs advance)

-------------------------------------------------------------------------
Nem, de lehetne.

+1

Galaxy Ace 2

Nekem LG optimus van, az is egyből feldobja a chargeonly-t
> Sol omnibus lucet.

Ha bedugom a telefonom, akkor nem látom a fájlokat. Sokáig azt hittem, hogy bug, de valójában az van, hogy amíg lockolva van a telefon, addig biztonsági okokból nem látszik a storage (legalábbis mtp módban vanilla androidon)

Csak annyit, hogy az androidos teló rootolás első lépése, hogy bedug és charge only (na jó, és USB debug engedélyezve). De innen kezdve USB-n keresztül kintről rootolható a teló. Ennyi erővel feltolható rá akármi más exploit is, nem csak egy sudo jogú shell.

usb debug is úgy működik már egy jó ideje hogy előbb el kell fogadni a telefonon hogy adott gép hozzáférhet-e.

Az én telómon még nem kell... ez egy ősmodell :o (2.1)

A mobilokba sem ártana beépíteni egy hasonló funkciót nyújtó kapcsolót, mert ahogyan a töltőjét könnyen otthon felejti valaki úgy ezt az usb kotont is könnyen otthon hagyhatja.

Egy átvágott adatvonalú hosszabbító kábel nem jó?

De jó ,ha az átvágott vezeték nem okoz zárlatot.:)

Lehet, hogy okoz de csak a juice jackingező eszközön nem a te mobilodon. :-) Annak a gazdája pedig meg is érdemli. Egy tisztességes konnektoros töltő semmit sem csinál az adatvezetékkel.

Ezt így nem lehet kijelenteni, mert a dedikált töltő mód a micro usb esetében pont azt jelenti, hogy a nagyobb áramleadásra képes töltőben az adat két ere rövidre van zárva. Így jelez a töltő a telefon felé, hogy nincs áramkorlátozás a töltésnél. Ha az adat nyitott, akkor usb töltést feltételez a készülék, és (felkészülve az usb port sajátosságaira) kisebb árammal tölt.
- - - - - - -
"Nagy kár, hogy az informatika abba a korba ért, hogy lehet nyugodtan pazarolni az erőforrásokat." Saxus

Ez a szabvány része? Minden microUSB-s eszköz így működik?

Usb-nél igen, micro-nál passz.
De elég sok helyen van így.
Pl.:
http://forum.xda-developers.com/showthread.php?t=1870586
- - - - - - -
"Nagy kár, hogy az informatika abba a korba ért, hogy lehet nyugodtan pazarolni az erőforrásokat." Saxus

Pont erre gondoltam. A zöld és fehér kábelt el kell vágni egy sima usb hosszabbító kábelen és kész, nem?

De, "es kesz", es milyen elegans es praktikus lesz egy ilyet magaddal cipelni!

Nos igen :D

Ó igen, hatalmas súlya van, és rengeteg helyet is foglal.
Meg amúgyis valami táska mindig van az embernél, ha olyan helyre megy, ahol meg telefont akar tölteni.

http://rnbw.in/UbQJC vs http://rnbw.in/OQEbW. Igen, hatalmas. A különbség. Nyilván mindent meg lehet oldani szarabbul is, igényszinttől függően.

Lehet én vagyok hülye, de ami az első képen van az egy OTG csatlakozó, nem? Az arra való hogy a telefonra dugj usb eszközöket, szóval hogy jön ide? :)

De tegyük fel, hogy elutaztál külföldre, és nem akarsz egy új töltőt venni az otthon felejtett helyett, veszel tehát egy olcsó kábelt, ami nagyon sok helyen kapható. Továbbá feltételezett minimális műszaki felkészültségedet és kézügyességedet használva ebből készíthetsz egy hardveres védelmet, amit használhatsz az utad során nyilvános helyeken is bátran.

Akkor mar hordasz magaddal egy toltot a megbuheralt hosszabito kabel helyett, es kesz. Nem?

Szerintem is bár ez a cikkbeli megoldásra is igaz.

Ha tegyük fel mobil töltőponton vagy, ott alapból microUSB van rajta, ott hogy vágod át az adatvonalat? /mondjuk arra ez a megoldás se jó/

+1, en is feltalaltam ezt ma'r kb 1 e've. A kindle-t nem lehetett tolteni csak ugy linuxos laptoprol/geprol mert allanodan fel akarta volna csatolni. Vagyis me'g mountd se fut, de ugyis letrehozza a /dev/sdx-et, es cseszik tolteni. Oke, par `eject`, oszt meggyogyul, de a francnak sincs kedve ehhez allandoan. Ugyhogy usb a-a kabelben d+,d- a'tva'g, lerovidit, oszt jonapot. Megy mint a takony. Szabadalmaztatnom kellett volna, mint mikroszoft a ke't kattinta'st ;]

udevben letiltod -> örülsz

Nekem (cm 10.1.2) feldob egy kérdést a mobil csatlakozás után, hogy engedélyezem-e a megosztást. Addig nem is látszik a telefon tartalma a pc-n.
Ezzel együtt kell erre figyelni. Bár inkább a vezeték nélküli töltés tetszik, az nem fárasztja a csatlakozót sem, ez a microusb nem tűnik valami strapabírónak.

Úgy érzem biztos van valami kis rés, amivel PC irányból meglehet fogni a telót, hogy beszéljen.

Galaxy Nexus-t használok. Korábban Android 4.*-gal ill. most CyanogenMod 10.1.*-gal is zárolt telefont csatlakoztatva USB-re az MTP nem muxik. Csak a zárolás feloldása után lát bármit is a számítógép a rácsatlakoztatott telefon tartalmából. És persze úgy van a készülék beállítva, hogy 1 perc inaktivitás után ill. a ki-/bekapcsoló hatására a képernyő elalszik és azonnal zárol. Így elég kicsi a valószínűsége annak, hogy vki USB porton és MTP-n keresztül leszippancson a telefonról adatokat az engedélyem nélkül.

Software oldalról nem sikerül ezt megoldani akkor fel kell állni és abbahagyni de sürgösen.

-

akkor is tamad, ha kikapcsolva toltom a cuccost? nem? akkor meg mi a para zsenikeim :-D

Eleve nem is értem mi a beszarás tárgya. Addig meg sem nyitja / látja a rendszer az adatokat, míg a telefonon nem adok rá parancsot, hogy csatolhatóvá tegye.

--
openSUSE 12.2 x86_64

És ezt hogy éred el pl. Samsung mobilon, gyári firmware-rel?
Mert az enyém, ha rádugom a PC-re, szó nélkül felajánlja az összes elérhető könyvtárat (igaz, windows+Kies telepítve)


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Az konkrét..

Rádugtam a gépre, nem nyílik meg magától. Csak megengedhetem neki, hogy csatolja a memória kártyát oszt annyi.

adb meg aszondja:
error: insufficient permissions for device

--
openSUSE 12.2 x86_64

És ettől kezdve ezt nem is értem...


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Bocs, visszavonva.
Mivel számomra nem volt teljesen egyértelmű, hogy minden esetben engedélyt kér vagy csak akkor, ha PIN/jelszó kell a lock feloldásához... most kipróbáltam a PIN kódos verziót.
Ha így dugom a gépre a mobilt, akkor addig nem lát a telefonon lévő adatokból semmit, míg meg nem adom a PIN-t vagy a jelszót.


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

PIN, jelszó nekem nincs, csak a SIM kártyán.
A fentebbi linken MTP, PTP van, a Galaxy Mini(?) még nem tart olyat, lehet azér van így. Vagy csak keverem?...

--
openSUSE 12.2 x86_64

Ez olyan mint a DVD visszatekerő??? :D

LOL

--
Debian Linux rulez... :D