Зарядка смартфона как угроза утечки информации

Зарядка смартфона как угроза утечки информации
На RSAC достаточно популярной было наличие зарядных станций на стендах участников выставка. Оно и понятно, аккумулятор при активном использовании уходит в ноль за полдня и остро встает задача зарядки своего мобильного устройства.


На стендах же вы часто тратите по 10-15 минут, общаясь с представителями компаний и за это время вы вполне можете поднять зарядку своего смартфона на 10%. Тут 10%, там 10%... Глядишь, аккумулятор вновь полный.


Только мы не так уж и часто задумываемся о том, что подключая свои носители конфиденциальной информации к таким зарядным станциям, мы не только получаем от них электрический ток, но и можем отдавать информацию, которая хранится на устройстве. Ведь обычно для зарядки используется тот же самый кабель, что и для синхронизации, а он подразумевает двустороннуее взаимодействие со всеми вытекающими отсюда угрозами. Правда, для этого, вы должны "доверять" компьютеру, который захочет получить доступ к информации на вашем компьютере, что требует определенных действий от пользователя (по крайней мере на iOS это так). Но где гарантия, что этот механизм "доверия" нельзя обойти? А может быть на мобильном устройстве его и вовсе нет?

Я специально для таких задач ношу с собой внешнюю батарею, которой хватает на несколько циклов зарядки. Но понятно, что это бывает не всегда. Кому-то лень таскать с собой дополнительный аккумулятор, кто-то забыл его подзарядить, а кто-то понадеялся на то, что батареи хватит на весь день. Но не срослось и вот перед нами задача зарядки нашего устройства через недоверенную зарядную станцию. Что делать?

Вот к китайцам у меня недоверие и у них бы я никогда не заряжал свой смартфон
В этом году на RSAC была модной вот такая сувенирка (нарядку со шторками для камеры ноутбука). Специальные зарядные кабели, у которых физически отсутствует возможность синхронизации. Дешево, практично и безопасно.



В одном случае я получил вот такое вот изделие, суть которого та же, что и у односторонних кабелей, но вот удобство на порядок ниже. Ведь помимо этого устройства, предотвращающего синхронизацию, мне все равно понадобится кабель для зарядки.


Но помните, что для удовлетворения потребностей посетителей конференций и выставок, а также для их удобства, часто стали предлагать вот такие зарядные станции с интегрированными кабелями разных типов (micro-USB, mini-USB и др.).


В таком случае представленные выше варианты защиты не подойдут. Исключая ситуацию с зарядкой USB-USB; тогда устройство на предпоследней фотографии подойдет как нельзя лучше. Если бы такие были для всех типов интерфейсов, то проблема была бы решена.

В любом случае стоит помнить об этом риске и быть заранее готовым к управлению им. Не исключаю, что скоро появятся желающие протестировать безопасников на уровень их параной путем установки зарядной станции на какой-нибудь конференции или выставке по ИБ :-) Ведь фальшивые точки доступа регулярно ставят на мероприятиях по ИБ, а потом делятся временами забавными результатами. Так, кстати, было и в этот раз - почти пятая часть всех участников RSAC подцепилась на фальшивую точку доступа.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!