È sicuro collegare una batteria USB casuale da un bidone al mio telefono senza interrompere in qualche modo il trasferimento dei dati?

6

Ho chiesto la domanda Connessione USB di sola alimentazione per ricaricare il mio telefono - semplice come tagliare le linee dati? nell'elettronica SE. Per bypassare "Perché vuoi farlo?" richiesta di chiarimenti, ho spiegato. Ecco il primo paragrafo:

In a pinch I bought a $3 "phone recharger" from the bin shown below, but now I am too scared to connect it directly to my phone, which costs orders of magnitude more. While a poor design could present undesirable qualities to the 5V power output, I have no idea if there's something inside connected to the data lines - part of the 21st century USB angst that has many people saying "not in my USB port you don't". See this security SE answer for some background on USB angst.

Sono stato ripetutamente sgridato nei commenti per voler stare attento, ad es.

And what are you afraid of from the charger? What's it going to do? Tell your wife you've been looking at porn sites?

Tuttavia ci sono stati alcuni chiarimenti:

You've also misunderstood the linked question on Security SE. Those plug in to a USB host and do nasty things to them by pretending to be a diffetent type if device. Your charger is the host in this case, and so can't present itself as any other device to your phone. It could (maybe) implement a host and install drivers (on itself) for the USB devices your phone presents, but it would have to be setup for a particular type of phone.

I'd be more worried about it damaging my phone than about some nebulous "security" problems. I repeat: What do you think it is going to do? Be more concerned about what facebook, candy crush, random programs from the playstore are spying on you than some piece of hardware that has no way to take use of any info it gets from you.

Domanda: Capisco che l'acquisto casuale di caricabatterie da $ 3 da un bidone sia folle, e quindi dover chiedere di tagliare le linee dati in un cavo USB è probabilmente un'ulteriore prova di ciò, ma Android o iOS, è sicuro prelevarne uno e collegarlo immediatamente al mio telefono? Se avesse un "chip extra" all'interno ed era preconfigurato per un dato sistema operativo, potrebbe fare qualcosa che potrebbe sollevare problemi di sicurezza?

    
posta uhoh 16.08.2017 - 19:04
fonte

3 risposte

5

Oh sì, quei commenti che hai citato sembrano essere tristemente ignoranti (e piuttosto irrispettosi dal momento che hai una domanda legittima).

Benvenuti nel mondo del latta-foglio d'argento!

La tua paura che la batteria sia più di un pacco batteria mi sembra perfettamente ragionevole.

Il commento è ovviamente corretto che la direzione è invertita rispetto al tradizionale Attacco BadUSB : USB Stick --> PC rispetto a USB Power Pack <-- Phone , quindi il tuo telefono non installerà automaticamente i driver forniti dal dispositivo. Quindi BadUSB non si applica direttamente, ma ciò non esclude affatto la possibilità che esso sfrutti un buffer overflow o un vuln simile sull'analizzatore di pacchetti USB del telefono.

Sembra perfettamente ragionevole che il power pack USB possa avere un chip che sfrutta vulnerabilità sconosciuta e non bloccata nei driver USB Android o iOS (ovvero "un attacco di 0 giorni") che potenzialmente potrebbe portare a un completo compromesso del telefono . Con entrambi i sistemi operativi che cercano di ottenere funzionalità sempre maggiori da quella porta USB, ci sarà sicuramente un nuovo codice nei loro stack USB, e come con tutti i nuovi codici, ci saranno sicuramente alcuni giorni in giro.

Come per la mitigazione

Applica lo stesso ragionamento che applichi per collegare una chiavetta USB al tuo CP: se non ti fidi del dispositivo, non collegarlo. Non acquistare dispositivi di produttori discutibili e acquistare sempre elettronica di persona anziché online per la consegna della posta, dal momento che la NSA ha una comprovata esperienza nel farlo (e se l'NSA lo sta facendo, allora non sono sicuramente gli unici ).

I pacchetti NSA effettivamente intercettati per mettere le backdoor nell'elettronica

    
risposta data 16.08.2017 - 20:13
fonte
2

La rimozione dei pin di dati dalle prese USB dovrebbe essere sufficiente. Meglio ancora, compra un syncstop.

link

Potresti averne uno collegato a qualsiasi dispositivo di ricarica della batteria e un altro dalla batteria al telefono. Solo il potere viene passato in questo modo.

Puoi anche crearli, basta cercare "make condom USB" online.

    
risposta data 17.08.2017 - 04:05
fonte
0

Potrebbe essere utile verificare se ci sono attività sul dispositivo USB usando Wireshark con USBPcap, se supportato sul tuo sistema. Lo hanno come opzione all'installazione. Se si dispone di dispositivi USB con comportamenti sospetti, questo è un ottimo modo per ottenere del traffico da esso.

    
risposta data 17.08.2017 - 04:18
fonte

Leggi altre domande sui tag