È possibile evitare Juice Jacking collegando solo i pin 1 e 4 USB?

Naviga le tue risposte
14

Secondo questa risposta accettata oggi sul mercato non esiste un telefono immune da "Juice Jacking" "*. Penso che un modo semplice per mitigare questa minaccia sia avere un filtro che blocchi i pin 2 e amp; 3 e collega solo 1 & 4. ( vedi Wiki per pinouts )

Sono sicuro di non poter essere l'unico a pensarci, quindi presumo che sia un dongle hardware di qualche tipo che posso usare per filtrare la potenza prima che arrivi al mio telefono.

Domanda

  • È un'idea legittima?

  • Quali dispositivi hardware esistono che consentono questo filtro?

  • Qualche telefono cellulare incorpora questa funzione di sicurezza nell'hardware? (simile a un interruttore hardware che apre o chiude i pin 1 e 2)

*Definition: Juice Jacking is when a USB charger is modified so that it reads, modifies or deletes information on a user's cell phone. This can include stealing passwords or adding spyware onto the device.

    
posta random65537 03.11.2012 - 17:35
fonte

4 risposte

10

Molti telefoni ti consentono di ricaricare solo con alimentazione e messa a terra. Alcuni telefoni (che guardano te, Apple) utilizzano le linee dati per determinare se il caricatore è "autorizzato" a caricare il telefono. Altri telefoni ancora (alcuni telefoni Android in particolare) ti chiedono esplicitamente di decidere cosa fare con la connessione USB, ad es. carica solo, o monta come unità usb, o connessione dati specifica dell'applicazione.

Alcuni cavi USB (spesso quelli economici che si ottengono con un caricabatterie economico) funzionano solo a terra e lasciano le linee dati scollegate. È piuttosto banale dire se ne hai uno cercando di usarlo per i dati e vedere cosa succede.

Anche se non credo che esistano "adattatori" per questo scopo, sarebbe molto semplice crearne uno: basta prendere qualsiasi adattatore esistente e ritagliare le linee dati. Ricorda che con alcuni dispositivi (ad es. Apple) questo impedisce la ricarica.

    
risposta data 03.11.2012 - 22:14
fonte
4

Le risposte:

  • Sì, questa è un'idea legittima e funziona. Gli alimentatori USB sono generalmente solo dati.
  • Se utilizzi Google "cavo di alimentazione USB", ne troverai alcuni come questo Cavo 0.96 GBP su Amazon.co.uk . In alternativa puoi crearne uno semplicemente aprendo un cavo USB standard, tagliando le due linee dati e collegandole. Alcuni dispositivi utilizzano il fatto che le linee dati sono collegate per identificare che si tratta di una connessione USB solo di alimentazione.
  • I telefoni non possono incorporare questo in hardware perché hanno bisogno dei dati linee per comunicare i dati via USB.
risposta data 04.11.2012 - 05:38
fonte
3

Sì, questa è un'esigenza legittima, in particolare se si utilizza l'alimentazione da laptop / computer.

Se desideri avere la protezione dell'hardware, il meglio è avere un cavo USB o un'estensione per cavo / adattatore con solo il PIN 1 e il 4 mappati (accorciare 2 e 3).

Molto improbabile che la protezione hardware venga fornita nei telefoni poiché la porta USB ha anche un uso per il trasferimento dei dati in altri scenari.

    
risposta data 03.11.2012 - 22:49
fonte
2

SyncStop

Ho visto alcune discussioni su un dispositivo come questo un po 'di tempo fa; si chiamava "USB Condom". Sembra che abbiano cambiato il nome in SyncStop . Al momento hanno una campagna Kickstarter in corso .

Cavo USB power-only di SyncStop Vs?

Non mi è chiaro come SyncStop sia diverso da un "cavo USB di sola alimentazione" (come menzionato da @DavidWachtfogel), che a quanto pare non è una nuova idea. C'è qualche discussione su Slashdot su come, durante la ricarica tramite USB non modificata, i pin di dati vengono utilizzati per controllare la carica , ad esempio, quanta corrente deve / può gestire il dispositivo e quando il caricabatterie può andare a dormire perché il dispositivo è completamente carico.

Forse SyncStop ha qualche soluzione per questo, ma non la vedo menzionata nelle loro FAQ.

    
risposta data 13.11.2014 - 17:45
fonte

Leggi altre domande sui tag

Posso verificare chi può decodificare il mio messaggio GPG dopo averlo crittografato? Come posso dimostrare SSL / TLS a 10 anni?