Czy publiczne ładowarki są bezpieczne? Rzecznik Praw Obywatelskich boi się o dane z mObywatela
W Polsce wraca temat ogólnodostępnych portów USB, które znajdziemy na przystankach, w galeriach handlowych, na dworcach czy w pojazdach publicznego transportu. Kilka miesięcy temu przed używaniem przestrzegał jeden z oddziałów FBI, teraz nad bezpieczeństwem zastanawia się Rzecznik Praw Obywatelskich.
RPO Marcin Wiącek prosi ministra cyfryzacji Janusza Cieszyńskiego o informację nt. zabezpieczenia danych dostępnych w aplikacjach rządowych przed nieuprawnionym dostępem i przejęciem – czytamy na stronie urzędu.
Atakowanymi urządzeniami są przede wszystkim telefony komórkowe, tablety i laptopy. Do ataku wykorzystuje się port ładowania danego urządzenia. Rozróżnia się dwa rodzaje tych ataków - kradzież danych oraz instalację złośliwego oprogramowania. Taki cyberatak niezwykle głęboko ingeruje w prywatność użytkowników sprzętów, które miały kontakt z zainfekowanym portem, wobec czego stał się przedmiotem zainteresowania Rzecznika. Gdy osoba chcąca skorzystać z zainfekowanego portu podłącza swoje urządzenie, hakerzy uzyskują wszystkie dane osobowe bądź infekują urządzenie złośliwym oprogramowaniem. Możliwe jest także kopiowanie danych wrażliwych ze smartfona, tabletu bądź urządzenia komputerowego oraz kradzież tożsamości przy wykorzystaniu takich danych (np. z serwisów bankowych) czy też śledzenie urządzeń.
- pisze RPO Marcin Wiącek.
Rzecznika martwi szczególnie zagrożenie w przypadku, gdy na urządzeniu zainstalowane są rządowe aplikacje, np. mObywatel. Na razie nie doczekaliśmy się zarówno oficjalnej, jak i nieoficjalnej odpowiedzi Janusza Cieszyńskiego, choćby na Twitterze. Tam dyskutuje teraz o nieco innych sprawach.
Czy faktycznie należy obawiać się publicznych portów USB?
Wcześniej ostrzeżenie wydał oddział FBI w Denver zalecając, aby korzystać z własnych źródeł zasilania. Takie porady pojawiały się również wśród osób zajmujących się cyberbezpieczeństwem. Na przykład firma Fortinet zwracała uwagę, żeby podczas wakacyjnych wyjazdów unikać ogólnodostępnych ładowarek USB, a jeśli już nie mamy innego źródła, to robić to wyłącznie wtedy, gdy sprzęt jest wyłączony. Dzięki temu mógłby faktycznie się ładować, a nie przesyłać dane.
Na Spider's Web piszemy o ciekawostkach związanych z ładowaniem:
Z drugiej strony telefony i tak po podłączeniu do innego urządzenia pytają nas, czy chcemy ładować sprzęt, czy też przesyłać dane. Kiedy więc taki komunikat pojawiłby się podczas korzystania z publicznej ładowarki, wówczas wiedzielibyśmy, że coś jest nie tak. W idealnym świecie, bo w normalnym doskonale wiemy, że ludzie działają odruchowo, automatycznie, nie czytając wyświetlanych komunikatów. Ryzyko istnieje. Ale...
Eksperci do spraw bezpieczeństwa tego typu ataki bardzo często analizowali w kontekście teoretycznym
Czyli że są możliwe, ale ich realizacja w praktyce jest czasochłonna i po prostu ryzykowna. W końcu ktoś mógłby dostrzec, że grzebie się przy ładowarce znajdującej się choćby w centrum handlowym.
Mimo to opinia fachowców jest konkretna – jeżeli czegoś nie musimy robić to lepiej tego po prostu nie robić, nawet jeżeli potencjalne zagrożenie jest niewielkie. „Skoro nie trzeba, to po co kusić licho?” – pisali wprost specjaliści z CERT Orange Polska. Lepszym rozwiązaniem jest wyposażenie się w powerbank, by w razie czego móc się podładować. A jeśli nie chce wam się go dźwigać to w sprzedaży dostępne są specjalne przejściówki blokujące transfer danych. Znajdziemy też kable służące wyłącznie do ładowania.
