Берегитесь мобильных электрозаправок

Берегитесь мобильных электрозаправок

В Америке и Европе довольно распространены зарядные станции для мобильных телефонов. Они встречаются в аэропортах, на вокзалах, в крупных торговых центрах и прочих людных местах. За небольшую плату или вовсе без таковой любой желающий может подключить свой телефон к такой станции и подзарядить батарею. Однако даже такое на вид безобидное устройство может послужить орудием хакеров.



Об этом на днях рассказали аналитики из фирмы Aires Security, выступая на конференции Defcon. Согласно их изысканиям, зарядная станция может обеспечить хищение конфиденциальных сведений, хранящихся в мобильном телефоне, или загрузку в него вредоносного программного обеспечения. Такой прием компрометации они назвали "juicejacking". Также ими был продемонстрирован и рабочий образец электрозаправки, способный реализовать подобное нападение.


Суть проблемы заключается в том, что многолетний поиск оптимальных, эргономичных и экономичных решений привел многих производителей мобильных устройств к использованию одного и того же разъема (в основном различных вариаций USB) как для зарядки аккумулятора, так и для передачи данных. Соответственно, предложив пользователю подключить телефон к электропитанию, можно одновременно без его ведома "сливать" через тот же самый разъем все сведения, доступные в режиме съемного диска - или, наоборот, записывать вредоносную информацию на флэш-карту либо в память самого телефона. В этом и состоит суть приема "juicejacking".


Такая техника может в перспективе оказаться довольно успешной: вряд ли многие пользователи задумываются о том, что заправочные станции для мобильников могут делать что-либо еще, кроме как заряжать батарею. Тем не менее, по словам аналитиков Aires, перепрограммировать аппарат в принципе не так сложно - был бы вредоносный умысел да физический доступ. При большом желании потенциальный злоумышленник может обзавестись и собственной станцией, которая изначально будет работать по его указаниям - скачивать содержимое доступной памяти либо внедрять вирусы в мобильное устройство.


Пока что juicejacking считается концептуальной атакой: прецедентов использования зарядных станций во вредоносных целях на данный момент не зарегистрировано. Однако информационная безопасность известна скорым превращением многих концептов в "живые атаки", так что свежеописанный прием все же стоит иметь в виду. Лучше всего, конечно, брать с собой в поездки собственное зарядное устройство и подключать его к энергосети общего пользования.


Кстати, в случае с USB-подключением есть простой способ проверить электрозаправку на благонадежность, который предложили специалисты из антивирусной компании Sophos. Нужно лишь внимательно посмотреть на штекер: из четырех или пяти выходных соединительных элементов (они, как правило, хорошо заметны) для подачи питания нужны только два - крайний слева и крайний справа. Те, что лежат между ними, обеспечивают передачу данных; если они отсутствуют, то штекер годен лишь для зарядки батареи, а вот в случае их наличия электрозаправка вполне сможет обменяться данными с вашим устройством.


PC World


Письмо автору

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Взлом через графику: Google закрыла опасную дыру в Chrome — обновляйтесь

Google выпустила срочное обновление для десктопной версии Chrome — 138.0.7204.157/.158. В нём закрыто сразу шесть уязвимостей, одна из которых уже активно используется злоумышленниками. Обновление постепенно распространяется на Windows, macOS и Linux. Но лучше не ждать — проверьте наличие апдейта вручную и перезапустите браузер.

Самая опасная проблема — CVE-2025-6558, уязвимость в компонентах ANGLE и GPU. Она связана с тем, как Chrome обрабатывает недоверенные данные, и может позволить атакующему выполнить вредоносный код на устройстве.

Её обнаружили специалисты из Google TAG — внутренней команды, отслеживающей атаки, связанные с госструктурами и кибершпионажем. Google прямо заявила: эта уязвимость уже используется в реальных атаках.

Для справки: ANGLE — это компонент, который помогает Chrome работать с графикой и переводит WebGL-запросы в язык, понятный системе. Если в нём есть дыра, это может привести к серьёзным последствиям.

Кроме CVE-2025-6558, в обновлении закрыты и другие важные баги:

  • CVE-2025-7656 — переполнение целого числа в движке JavaScript (V8). Уязвимость может привести к повреждению памяти и запуску произвольного кода. За неё исследователь получил $7 000.
  • CVE-2025-7657 — ошибка use-after-free в WebRTC (технология для звонков, видео и обмена файлами прямо через браузер). Может вызвать сбой или удалённый взлом.

Если вы пользуетесь Chrome — обновитесь как можно скорее. Обычно браузер делает это сам в фоне, но лучше проверить вручную: Настройки О браузере Chrome Обновить. После обновления перезапустите браузер.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru