Součástí výzkumu bylo testování několika chytrých telefonů s rozdílnými verzemi operačních systémů Android a iOS. Analytici tak zjistili, jaká data zařízení během nabíjení externě předává klasickému počítači nebo Macu. Testy ukázaly, že hned po připojení poskytuje telefon počítači celou řadu informací, včetně jména zařízení, výrobce, typu, sériového čísla, detailů o firmwaru a operačním systému, seznam souborů nebo ID elektronického čipu. Množství předaných dat se liší v závislosti na typu zařízení a hostitele. Základní informace jako jméno přístroje, výrobce a sériové číslo ale poskytují všechny telefony bez výjimky.
Telefony provází své majitele téměř na každém kroku. Stávají se tak unikátními identifikátory pro osoby, které citlivá data sbírají pro další použití. To by nemusel být problém v případě, že by shromažďování dat bylo to jediné, co útočníci dokáží ze zařízení připojených k počítačům získat.
V roce 2014 na konferenci Black Hat zaznělo, že telefon může být ohrožen malwarem pouhým připojením k falešné nabíjecí stanici. Dva roky poté experti Kaspersky Lab zjištění potvrzují. Pomocí běžného počítače a standardního micro USB kabelu vybaveného speciálními příkazy (AT-příkazy) byli schopni získat přístup do telefonu a nenápadně do něj naistalovat aplikace. I přes to, že nepoužili žádný malware, znamenalo to pro chytrý telefon velké nebezpečí.
Žádné informace o aktuálních hrozbách, které by zahrnovaly i falešné nabíjecí stanice, nebyly dosud zveřejněny. Experti se ale s problémy krádeží dat z telefonů připojených k počítačům setkali už dříve. Například v roce 2013 byla tato technika součástí kybernetické špionážní kampaně Red October. Dalším případem byla skupina Hacking Team, která dokázala použít počítačového připojení k napadení mobilního zařízení malwarem. V obou případech našli kyberzločinci způsob, jak zneužít zdánlivě bezpečné výměny dat mezi telefonem a počítačem, ke kterému byl připojen. Útočníci byli díky identifikačním údajům, které obdrželi od připojeného zařízení, schopni zjistit, jaký typ zařízení oběť používá. Na základě toho vybrali specifický exploit a zařízení napadli. To by se jim nepodařilo tak lehce, pokud by chytré telefony automaticky neposkytovaly data počítačům, ke kterým jsou připojené.
Pokud se chcete vyhnout riziku, že se stanete obětí útoku přes neznámé nabíjecí body a nedůvěryhodné počítače, měli byste podle Kaspersky Lab dodržovat následující rady:
- K nabití telefonu využívat pouze důvěryhodných nabíjecích míst a počítačů.
- Zabezpečit mobilní telefon heslem nebo jiným způsobem a neodemykat ho během nabíjení.
- K ochraně dat používat šifrovací technologie a bezpečné kontejnery (chráněné oblasti v mobilních zařízeních, které jsou určeny pro citlivé informace).
- Chránit jak telefon, tak i počítač pomocí ověřeného zabezpečení. To dokáže odhalit malware i pokud útočníci zneužijí slabá místa během nabíjení.
- Více informací se o nebezpečném způsobu nabíjení dozvíte zde.
