skip to main | skip to sidebar
10 commenti

Videojacking: come rubare password a uno smartphone usando un caricabatteria

Durante il recente convegno di sicurezza DEF CON di Las Vegas sono state presentate numerose tecniche di attacco informatico davvero creative e originali che è meglio conoscere per evitarle. Una di queste tecniche consente di rubare password, leggere mail e sorvegliare la navigazione semplicemente offrendo alla vittima di caricare la batteria del suo smartphone.

Il trucco, chiamato videojacking, funziona così: la vittima si trova in un luogo pubblico, a corto di carica (come capita spesso con gli smartphone di oggi), e vede che c’è un punto di ricarica per telefonini cortesemente offerto, come capita per esempio in alcuni aeroporti, sui treni e sugli aerei. Collega il telefonino e comincia a usarlo. Che male ci potrà mai essere? È solo una ricarica di energia elettrica.

In realtà i connettori degli smartphone non portano soltanto energia elettrica per la carica della batteria: veicolano anche segnali. Così si catturano questi segnali, e in particolare il segnale video in uscita dal telefonino (quello che consente di mostrare su un monitor lo schermo dello smartphone), in modo da vedere e registrare tutto quello che compare sullo schermo, comprese le password digitate, riconoscibili dal fatto che i singoli tasti toccati per digitare la password si animano quando vengono usati. Questo consente anche di catturare i PIN di blocco.


La particolarità di questa tecnica è che al momento è invisibile per la vittima: sia gli smartphone Android, sia gli iPhone non avvisano l’utente quando viene collegato un connettore che non solo fornisce corrente elettrica ma riceve anche i segnali video dallo schermo.

I ricercatori Brian Markus di Aries Security e i suoi colleghi Joseph Mlodzianowski e Robert Rowley hanno dimostrato il metodo d’intercettazione improvvisando un apparato dimostrativo con un monitor HDMI di seconda mano, un video splitter e un piccolo registratore video USB. Costo complessivo: circa 220 dollari a parte il monitor.

Questa tecnica è una variante del juice jacking, che fino a qualche tempo fa consentiva di rubare dati agli smartphone che venivano incautamente collegati a punti di ricarica sconosciuti; il problema è stato risolto nelle versioni aggiornate dei dispositivi e dei loro sistemi operativi.

Morale della storia: se avete uno smartphone, pensateci bene prima di collegarlo a un dispositivo di ricarica che non sia vostro o comunque fidato, e portate se possibile il vostro o perlomeno usate uno USB condom che blocchi tutti i collegamenti tranne quelli di alimentazione elettrica. No, non sto scherzando: esiste davvero e si chiama proprio così.


Fonte: Krebs on Security.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (10)
Non viene specificato perchè probabilmente è scontato, ma lo chiedo lo stesso: tutto questo quando quello che viene offerto è un cavo o una porta usb che non sappiamo a cosa è connessa.
Se invece posso attaccare il mio caricabatterie alla presa di corrente a muro, non corro rischi, vero?
Se connetto il mio telefono al PC viene visualizzata questa notifica:

http://i.imgur.com/mFFk5lJ.png

Se tocco la notifica mi dà questo:

https://i.imgur.com/A9nYS4H.png

Se invece connetto solo il caricabatterie o un power bank la notifica non c'è e vedo solo il fulmine sull'icona della batteria che indica ricarica.
Quindi direi che vengo avvisato se ci può essere trasferimento dati.
Un USB condom, mi mancava ma devo dire che è geniale, sia il nome che lo scopo :)
Curiosità: android su nexus 5X consente quali segnali far uscire dallo spinotto nel caso é collegato ad un pc, ed é di default impostato su solo ricarica. Questa tecnica funziona anche su un nexus 5X?
Questo commento è stato eliminato dall'autore.
Se non sbaglio quando è attivo un video esterno, almeno sugli iPhone, c'è una barra blu in alto che segnala la cosa.
[quote-"Ferdinando Traversa"]Esiste anche Pure.Charger di Kasperkey che, a mio giudizio, è più esteticamente bella ed utile (anche se ancora allo stato iniziale) http://www.appelmo.com/2016/06/29/pure-charger-kaspersky-kickstarter/
[/quote]
Mi rimangio tutto, il prodotto non ha raggiunto i fondi necessari. Peccato:(
Non capisco cose se ne possa fare un malintenzionato del pin di blocco senza avere fisicamente in mano anche il telefono, per il resto nessuno digita abitualmente password per le varie applicazioni, a parte la prima volta.
Fantastica la parentesi sugli "smartphone di oggi" che si scaricano velocemente, in attesa di quelli di domani che andranno a plutonio, forse conviene tenersi quelli di ieri, che non erano affatto smart, ma la carica durava (e dura tutt'ora) tre giorni comodi, e quando il segnale della batteria bassa lampeggia hai ancora mezza giornata per caricarla. E lo chiamano progresso.
Io ho provato con un cavo MHL (tra l'altro è rosso e nero, come quello della foto): è un cavo a Y con una porta HDMI (connessa a un monitor), una porta USB standard (per l'alimentazione, connessa anch'essa al monitor) e una porta micro USB connessa al mio Android (Marshmallow), il risultato è che sul cellulare avverte della connessione ad un monitor esterno (e durante la connessione rimane sulla barra in alto l'icona "MHL").
Ed io che pensavo che mia madre fosse una vecchietta irrecuperabile ostile alle innovazioni.
Lei preferisce usare ancora il Nokia 7110 di oltre 15 anni fa!
Riesce anche a scrivere degli sms (tutti ben sconclusionati = cifrati?) con quel prodigio di banana Matrix!
Ora ho capito, aveva visto nel futuro e si era saggiamente premunita, quella banana si carica con un semplice connettore bipolare + e -
Nessun bit ci passa.
Hai capito?!

Paolo ci sono anche gli adattatorini >Data Block + Smart Charge< progettati anche per permettere di effettuare delle cariche veloci con gli appositi caricabatterie ed i telefoni compatibili con la carica veloce, che nel caso si usi un cavo di collegamento non originale, non fanno passare i dati per favorire il passaggio di maggior corrente e tensione.
Senza questi piccoli adattatori, dovendo anche passare il flusso di dati, non si può accelerare sul processo di carica che così avviene più lentamente.