O seu smartphone precisa de uma recarga ainda novamente e você está a milhas do carregador em casa ; o quiosque de cobrança pública parece bastante promissor - basta conectar o telefone e obter a energia doce e doce que você deseja. O que poderia dar errado, certo? Graças a características comuns em hardware de celular e design de software, muitas coisas - leia mais para aprender mais sobre suco jacking e como evitá-lo.

O que exatamente é Juice Jacking?

Independentemente do tipo de smartphone moderno você Seja um dispositivo Android, iPhone ou BlackBerry, há um recurso comum em todos os telefones: a fonte de alimentação e o fluxo de dados passam pelo mesmo cabo. Se você está usando a conexão USB miniB agora padrão ou os cabos proprietários da Apple, a mesma situação: o cabo usado para recarregar a bateria do telefone é o mesmo que você usa para transferir e sincronizar seus dados.

Esta configuração, dados / energia no mesmo cabo, oferece um vetor de abordagem para um usuário mal-intencionado obter acesso ao telefone durante o processo de carregamento; aproveitando o cabo de dados / energia USB para acessar ilegitimamente os dados do telefone e / ou injetar código malicioso no dispositivo é conhecido como Juice Jacking.

O ataque pode ser tão simples quanto uma invasão de privacidade, em que seu telefone faz par com um computador ocultos no quiosque de cobrança e informações como fotos privadas e informações de contato são transferidas para o dispositivo malicioso. O ataque também pode ser tão invasivo quanto uma injeção de código malicioso diretamente no seu dispositivo. Na conferência de segurança BlackHat deste ano, os pesquisadores de segurança Billy Lau, YeongJin Jang e Chengyu Song estão apresentando “MACTANS: Injetando Malware em Dispositivos iOS Via Carregadores Maliciosos”, e aqui está um resumo de sua apresentação:

Nesta apresentação, Nós demonstramos como um dispositivo iOS pode ser comprometido dentro de um minuto depois de ser conectado a um carregador mal-intencionado. Primeiro examinamos os mecanismos de segurança existentes da Apple para proteger contra a instalação arbitrária de software e, em seguida, descrevemos como as capacidades USB podem ser aproveitadas para contornar esses mecanismos de defesa. Para garantir a persistência da infecção resultante, mostramos como um atacante pode ocultar seu software da mesma maneira que a Apple esconde seus próprios aplicativos integrados.

Para demonstrar a aplicação prática dessas vulnerabilidades, criamos um carregador malicioso de prova de conceito, chamado Mactans, usando um BeagleBoard. Este hardware foi selecionado para demonstrar a facilidade com que carregadores USB maliciosos de aparência inocente podem ser construídos. Embora a Mactans tenha sido construída com um tempo limitado e um orçamento pequeno, também consideramos brevemente o que os adversários mais motivados e bem financiados poderiam realizar.

Usando hardware barato disponível no mercado e uma vulnerabilidade de segurança gritante, eles conseguiram obter acesso aos dispositivos iOS da geração atual em menos de um minuto, apesar das inúmeras precauções de segurança que a Apple estabeleceu especificamente para evitar esse tipo de coisa.

Esse tipo de exploração dificilmente é um novo bipe no radar de segurança. Dois anos atrás, na conferência de segurança DEF CON de 2011, pesquisadores da Aires Security, Brian Markus, Joseph Mlodzianowski e Robert Rowley construíram um quiosque de cobrança para demonstrar especificamente os perigos do suco e alertar o público sobre quão vulneráveis ​​seus telefones eram quando conectado a um quiosque - a imagem acima foi exibida aos usuários depois que eles foram colocados no quiosque malicioso. Mesmo dispositivos que foram instruídos a não emparelhar ou compartilhar dados ainda eram frequentemente comprometidos pelo quiosque da Aires Security. Ainda mais preocupante é que a exposição a um quiosque malicioso poderia criar um problema de segurança persistente mesmo sem a injeção imediata de código malicioso. Em um artigo recente sobre o assunto, o pesquisador de segurança Jonathan Zdziarski destaca como a vulnerabilidade de emparelhamento do iOS persiste e pode oferecer aos usuários mal-intencionados uma janela para o seu dispositivo mesmo depois que você não está mais em contato com o quiosque:

Se você não estiver familiarizado com o modo como o pareamento funciona no iPhone ou no iPad, esse é o mecanismo pelo qual sua área de trabalho estabelece um relacionamento confiável com o dispositivo para que o iTunes, o Xcode ou outras ferramentas possam conversar com ele. Uma vez que uma máquina desktop tenha sido emparelhada, ela pode acessar uma série de informações pessoais no dispositivo, incluindo seu catálogo de endereços, anotações, fotos, coleta de músicas, banco de dados de sms, cache de digitação e até iniciar um backup completo do telefone. Quando um dispositivo é emparelhado, tudo isso e muito mais podem ser acessados ​​sem fio a qualquer momento, independentemente de você ter a sincronização Wi-Fi ativada. Um emparelhamento dura a vida do sistema de arquivos: ou seja, quando seu iPhone ou iPad é emparelhado com outra máquina, esse relacionamento de emparelhamento dura até que você restaure o telefone para um estado de fábrica.

O dispositivo iOS indolor e agradável pode realmente criar um estado doloroso: o quiosque que você acabou de recarregar seu iPhone pode, teoricamente, manter um cabo umbilical Wi-Fi em seu dispositivo iOS para acesso contínuo mesmo depois de desconectar seu telefone em uma espreguiçadeira do aeroporto próxima para jogar uma rodada (ou quarenta) de Angry Birds.

Quão Preocupados Eu Devo Estar?

Somos tudo menos alarmistas aqui no How-To Geek, e sempre damos a você straight: atualmente o suco jacking é uma ameaça amplamente teórica, e as chances de que as portas de carregamento USB no quiosque do aeroporto local sejam, na verdade, uma frente secreta para um sifão de dados e computadores injetando malware são muito baixas. Isso não significa, no entanto, que você deve apenas dar de ombros e imediatamente esquecer o risco real de segurança que coloca seu smartphone ou tablet em um dispositivo desconhecido.

Vários anos atrás, quando a extensão Firesheep do Firefox era a Falando da cidade nos círculos de segurança, era justamente a ameaça em grande parte teórica, mas ainda muito real, de uma simples extensão de navegador que permitia aos usuários seqüestrar as sessões de usuários de outros usuários no nó local de Wi-Fi que levaram a mudanças significativas. Os usuários finais começaram a levar a segurança da sessão de navegação mais a sério (usando técnicas como tunelamento através de suas conexões domésticas ou conexão com VPNs) e grandes empresas de internet fizeram grandes mudanças de segurança (como criptografar toda a sessão do navegador e não apenas o login). > Desta forma, conscientizar os usuários sobre a ameaça de "suco jacking" diminui a chance de as pessoas serem estimuladas e aumenta a pressão sobre as empresas para melhor gerenciar suas práticas de segurança (é ótimo, por exemplo, que o dispositivo iOS se emparelhe tão facilmente e torna a experiência do usuário tranquila, mas as implicações do emparelhamento vitalício com 100% de confiança no dispositivo pareado são bastante graves.

Como posso evitar o uso de suco?

Embora o suco não seja uma ameaça tão ampla quanto roubo de telefone direto ou exposição a vírus mal-intencionados por meio de downloads comprometidos, você ainda deve tomar precauções de senso comum para evitar a exposição a sistemas que possam acessar mal dispositivos de rádio.

Imagem cortesia de Exogear

.

As precauções mais óbvias centram-se simplesmente em tornar desnecessário carregar o seu telefone usando um sistema de terceiros: Mantenha os seus dispositivos com a capacidade máxima: A precaução mais óbvia é manter o seu dispositivo móvel carregado. Crie o hábito de carregar seu telefone em casa e no escritório quando não estiver usando ativamente ou sentado em sua mesa para trabalhar. Quanto menos vezes você estiver olhando para uma barra de bateria vermelha de 3% quando estiver viajando ou longe de casa, melhor.

Carregar um carregador pessoal:

Os carregadores tornaram-se tão pequenos e leves que dificilmente pesam mais do que o cabo USB real ao qual eles se conectam. Jogue um carregador na sua bolsa para poder carregar seu próprio telefone e manter o controle sobre a porta de dados. Carregar uma bateria de reserva:

Se você optar por carregar uma bateria sobressalente completa (para dispositivos que permitem a troca física bateria externa) ou uma bateria externa de reserva (como essa minúscula 2600mAh), você pode ir mais longe sem precisar amarrar o telefone em um quiosque ou tomada de parede. Além de garantir que seu telefone mantenha uma bateria cheia, existem técnicas adicionais de software que você pode usar (embora, como você pode imaginar, elas sejam menos que ideais e não funcionem garantidamente, devido à constante corrida armamentista das falhas de segurança). Como tal, não podemos realmente endossar qualquer uma dessas técnicas como realmente eficazes, mas elas certamente são mais eficazes do que não fazer nada.

Bloquear seu telefone: Quando seu telefone está bloqueado, realmente bloqueado e inacessível sem a entrada de um PIN ou senha equivalente, seu telefone não deve emparelhar com o dispositivo ao qual está conectado. Os dispositivos iOS só serão emparelhados quando desbloqueados, mas, novamente, como destacamos anteriormente, o emparelhamento ocorre em segundos, portanto, é melhor verificar se o telefone está realmente bloqueado.

Desligar o telefone:

Essa técnica funciona somente em um modelo de telefone por modelo de telefone como alguns telefones, apesar de estarem desligados, ainda alimentam todo o circuito USB e permitem o acesso ao armazenamento flash no dispositivo Desativar o emparelhamento (somente dispositivos iOS desbloqueados):

Jonathan Zdziarski, mencionado anteriormente no artigo, lançou um pequeno aplicativo para dispositivos iOS com jailbreak que permite ao usuário final controlar o comportamento de emparelhamento do dispositivo. Você pode encontrar seu aplicativo, PairLock, na Cydia Store e aqui Uma técnica final que você pode usar, que é eficaz, mas inconveniente, é usar um cabo USB com os fios de dados removidos ou em curto. Vendidos como cabos “somente de energia”, esses cabos não possuem os dois fios necessários para a transmissão de dados e têm apenas os dois fios para a transmissão de energia restante. Uma das desvantagens de usar esse cabo, no entanto, é que seu dispositivo normalmente carrega mais lentamente, pois os carregadores modernos usam os canais de dados para se comunicar com o dispositivo e definem um limite máximo de transferência apropriado (sem essa comunicação, o carregador será padronizado o menor limite seguro)

Por fim, a melhor defesa contra um dispositivo móvel comprometido é a conscientização. Mantenha seu dispositivo carregado, ative os recursos de segurança fornecidos pelo sistema operacional (sabendo que eles não são infalíveis e todos os sistemas de segurança podem ser explorados) e evite conectar seu telefone a estações de recarga desconhecidas e computadores da mesma maneira que você sabiamente evitar abrir anexos de remetentes desconhecidos.

Como configurar o Picasa com as Fotos do Google+

Eu originalmente escrevi este artigo em 2007, mas estou atualizando para 2014 porque muita coisa mudou em sete anos. Em primeiro lugar, os Álbuns da web do Picasa não existem mais. Desde o lançamento do Google+, todo o armazenamento de fotos ocorre nas Fotos do Google+. No entanto, você ainda pode usar o Picasa no Mac e no PC para enviar suas fotos para o Fotos do Google+.Sou

(How-to)

Como reorganizar ou ocultar os botões de extensão na barra de ferramentas do Chrome

Algumas extensões do Google Chrome adicionam um botão à direita da barra de ferramentas, que geralmente fornece acesso aos principais recursos da extensão. Esses botões são adicionados na ordem em que as extensões foram instaladas, e esse pedido pode não ser do seu agrado. Felizmente, o Chrome agora facilita reorganizar os botões de extensão na barra de ferramentas.

(how-to)