es.phhsnews.com


es.phhsnews.com / ¿Qué es "Juice Jacking" y debería evitar los cargadores públicos de teléfonos?

¿Qué es "Juice Jacking" y debería evitar los cargadores públicos de teléfonos?


Su teléfono inteligente necesita una recarga pero nuevamente y está a millas del cargador en casa ; ese quiosco de carga pública se ve bastante prometedor: solo conecta tu teléfono y obtén la dulce y dulce energía que anhelas. ¿Qué podría ir mal, verdad? Gracias a los rasgos comunes en el diseño de hardware y software para teléfonos celulares, bastantes cosas: siga leyendo para obtener más información sobre cómo extraer jugo y cómo evitarlo.

¿Qué es exactamente Juicing Jacking?

Independientemente del tipo de smartphone moderno que ya sea un dispositivo Android, iPhone o BlackBerry, existe una característica común en todos los teléfonos: la fuente de alimentación y la transmisión de datos pasan por el mismo cable. Ya sea que esté utilizando la conexión USB miniB estándar o los cables propietarios de Apple, es la misma situación: el cable utilizado para recargar la batería de su teléfono es el mismo que usa para transferir y sincronizar sus datos.

Esta configuración, datos / alimentación en el mismo cable, ofrece un vector de acercamiento para que un usuario malintencionado obtenga acceso a su teléfono durante el proceso de carga; aprovechar el cable de datos / alimentación USB para acceder de manera ilegítima a los datos del teléfono y / o inyectar código malicioso en el dispositivo se conoce como Juice Jacking.

El ataque podría ser tan simple como una invasión de privacidad, donde el teléfono se empareja con una computadora oculto dentro del quiosco de carga e información como fotos privadas e información de contacto se transfieren al dispositivo malicioso. El ataque también podría ser tan invasivo como una inyección de código malicioso directamente en su dispositivo. En la conferencia de seguridad BlackHat de este año, los investigadores de seguridad Billy Lau, YeongJin Jang y Chengyu Song presentan "MACTANS: inyección de malware en dispositivos iOS a través de cargadores maliciosos", y aquí hay un extracto de su resumen de presentación:

En esta presentación, demostramos cómo un dispositivo iOS puede verse comprometido en un minuto después de haber sido conectado a un cargador malicioso. Primero examinamos los mecanismos de seguridad existentes de Apple para protegernos contra la instalación arbitraria del software, luego describimos cómo las capacidades del USB pueden aprovecharse para eludir estos mecanismos de defensa. Para garantizar la persistencia de la infección resultante, mostramos cómo un atacante puede ocultar su software de la misma manera que Apple oculta sus propias aplicaciones integradas.

Para demostrar la aplicación práctica de estas vulnerabilidades, creamos una prueba de concepto de cargador malicioso, llamado Mactans, usando una BeagleBoard. Este hardware fue seleccionado para demostrar la facilidad con la que se pueden construir cargadores USB maliciosos y de aspecto inocente. Mientras Mactans se construyó con una cantidad limitada de tiempo y un presupuesto pequeño, también consideramos brevemente qué podrían lograr los adversarios más motivados y bien financiados.

Usando hardware barato y una vulnerabilidad de seguridad evidente, pudieron Obtenga acceso a los dispositivos iOS de generación actual en menos de un minuto, a pesar de las numerosas precauciones de seguridad que Apple ha implementado para evitar específicamente este tipo de cosas.

Sin embargo, este tipo de ataque no es una novedad en el radar de seguridad. Hace dos años en la conferencia de seguridad DEF CON de 2011, investigadores de Aires Security, Brian Markus, Joseph Mlodzianowski y Robert Rowley, construyeron un kiosco de carga para demostrar específicamente los peligros de la extracción de jugos y alertar al público sobre cuán vulnerables eran sus teléfonos cuando conectado a un quiosco: la imagen de arriba se mostró a los usuarios después de que se conectaran al quiosco malicioso. Incluso los dispositivos que tenían instrucciones de no emparejar o compartir datos todavía se veían comprometidos a través del quiosco de Aires Security.

Aún más preocupante es que la exposición a un quiosco malicioso podría crear un problema de seguridad persistente incluso sin inyección inmediata de código malicioso. En un artículo reciente sobre el tema, el investigador de seguridad Jonathan Zdziarski destaca cómo persiste la vulnerabilidad de emparejamiento de iOS y puede ofrecer a los usuarios maliciosos una ventana a su dispositivo incluso después de que ya no estén en contacto con el kiosco:

Si no está familiarizado con el funcionamiento del emparejamiento en su iPhone o iPad, este es el mecanismo mediante el cual su computadora de escritorio establece una relación de confianza con su dispositivo para que iTunes, Xcode u otras herramientas puedan comunicarse con él. Una vez que se ha emparejado una máquina de escritorio, puede acceder a una gran cantidad de información personal en el dispositivo, incluida su libreta de direcciones, notas, fotos, colección de música, base de datos de sms, caché de tipeo e incluso puede iniciar una copia de seguridad completa del teléfono. Una vez que se empareja un dispositivo, se puede acceder a todo esto y más de forma inalámbrica en cualquier momento, independientemente de si tiene activada la sincronización WiFi. Un emparejamiento dura toda la vida del sistema de archivos: es decir, una vez que su iPhone o iPad se empareja con otra máquina, esa relación de emparejamiento dura hasta que restablezca el teléfono a su estado de fábrica.

Este mecanismo, destinado a hacer El dispositivo iOS es fácil y agradable, puede crear un estado bastante doloroso: el kiosco con el que acaba de cargar su iPhone puede, teóricamente, mantener un cable umbilical Wi-Fi en su dispositivo iOS para un acceso continuo incluso después de desconectar su teléfono y desplomarse en un sillón de aeropuerto cercano para jugar una ronda (o cuarenta) de Angry Birds.

¿Qué tan preocupado debería estar?

No somos nada alarmistas aquí en How-To Geek, y siempre te lo damos straight: actualmente el jacking de zumos es una amenaza en gran parte teórica, y las posibilidades de que los puertos de carga USB en el quiosco de su aeropuerto local sean en realidad un frente secreto para un sifón de datos y una computadora de inyección de malware son muy bajos. Esto no significa, sin embargo, que simplemente debes encoger los hombros y olvidarte rápidamente del riesgo de seguridad real que supone colocar tu teléfono inteligente o tableta en un dispositivo desconocido.

Hace varios años, cuando la extensión de Firefox era Firesheep Hablar de la ciudad en círculos de seguridad, fue precisamente la amenaza en gran parte teórica, pero todavía muy real, de una simple extensión de navegador que permite a los usuarios secuestrar las sesiones de usuario del servicio web de otros usuarios en el nodo Wi-Fi local que condujo a cambios significativos. Los usuarios finales comenzaron a tomarse más en serio la seguridad de su sesión de navegación (usando técnicas como hacer un túnel a través de sus conexiones a Internet o conectarse a VPN) y las principales compañías de Internet hicieron importantes cambios de seguridad (como encriptar toda la sesión del navegador y no solo el inicio de sesión).

De esta forma, sensibilizar a los usuarios sobre la amenaza del consumo de jugo disminuye las posibilidades de que las personas se entusiasmen y aumenta la presión sobre las empresas para que administren mejor sus prácticas de seguridad (es genial, por ejemplo, que su dispositivo iOS se empareje tan fácilmente y hace que su experiencia de usuario sea fluida, pero las implicaciones del emparejamiento de por vida con 100% de confianza en el dispositivo emparejado son bastante serias).

¿Cómo puedo evitar el Juicing Jacking?

Aunque el jugo no es una amenaza tan extendida como El robo directo del teléfono o la exposición a virus maliciosos a través de descargas comprometidas, aún debe tomar precauciones de sentido común para evitar la exposición a sistemas que puedan acceder maliciosamente a su Dispositivos rsonal. Imagen cortesía de Exogear .

Las precauciones más obvias se centran en simplemente hacer innecesario cargar su teléfono usando un sistema de terceros:

Mantenga sus dispositivos rematados: La precaución más obvia es mantener el dispositivo móvil cargado. Acostúmbrese a cargar su teléfono en su hogar y en su oficina cuando no esté usándolo activamente o sentado en su escritorio trabajando. Cuantas menos veces se encuentre mirando una barra roja de batería al 3% cuando viaje o esté lejos de su hogar, mejor.

Cargue un cargador personal: Los cargadores se han vuelto tan pequeños y livianos que apenas pesan más que el cable USB real al que se conectan. Tire un cargador en su bolsa para que pueda cargar su propio teléfono y mantener el control sobre el puerto de datos.

Llevar una batería de respaldo: Si opta por llevar una batería de repuesto completa (para dispositivos que le permiten cambiar físicamente la batería) o una batería de reserva externa (como esta pequeña de 2600 mAh), puede durar más sin necesidad de conectar el teléfono a un kiosco o a una toma de corriente.

Además de garantizar que su teléfono mantenga una batería llena, existen técnicas de software adicionales que puede usar (aunque, como puede imaginar, estas no son ideales y no se garantiza que funcionen dada la constante carrera armamentista de exploits de seguridad). Como tal, no podemos respaldar realmente ninguna de estas técnicas como verdaderamente efectiva, pero sin duda son más efectivas que no hacer nada.

Bloquear su teléfono: Cuando su teléfono está bloqueado, verdaderamente bloqueado e inaccesible sin la entrada de un PIN o código de acceso equivalente, su teléfono no debe emparejarse con el dispositivo al que está conectado. Los dispositivos iOS solo se emparejarán cuando se desbloqueen, pero nuevamente, como lo resaltamos anteriormente, el emparejamiento se realiza en cuestión de segundos, por lo que es mejor asegurarse de que el teléfono esté realmente bloqueado.

Apague el teléfono: Esta técnica solo funciona en modelo de teléfono por modelo de teléfono ya que algunos teléfonos, a pesar de estar apagados, todavía encienden todo el circuito USB y permiten el acceso al almacenamiento flash en el dispositivo.

Desactivar emparejamiento (solo dispositivos Jailbroken iOS): Jonathan Zdziarski, mencionado anteriormente en el artículo, lanzó una pequeña aplicación para dispositivos iOS con jailbreak que permite al usuario final controlar el comportamiento de emparejamiento del dispositivo. Puede encontrar su aplicación, PairLock, en la Tienda de Cydia y aquí.

Una última técnica que puede usar, que es efectiva pero inconveniente, es usar un cable USB con los cables de datos eliminados o en cortocircuito. Se venden como cables de "solo alimentación", estos cables faltan los dos cables necesarios para la transmisión de datos y solo tienen los dos cables para la transmisión de energía restante. Sin embargo, una de las desventajas del uso de un cable de este tipo es que su dispositivo se cargará más lentamente ya que los cargadores modernos usan los canales de datos para comunicarse con el dispositivo y establecen un umbral de transferencia máximo apropiado (en ausencia de esta comunicación, el cargador utilizará de manera predeterminada el umbral seguro más bajo).


En última instancia, la mejor defensa contra un dispositivo móvil comprometido es la conciencia. Mantenga su dispositivo cargado, habilite las funciones de seguridad proporcionadas por el sistema operativo (sabiendo que no son infalibles y se pueden explotar todos los sistemas de seguridad) y evite enchufar su teléfono a estaciones de carga y computadoras desconocidas de la misma manera que evita abrir archivos adjuntos de remitentes desconocidos.


Cómo transferir contactos entre cuentas de Google

Cómo transferir contactos entre cuentas de Google

Google no ofrece forma de sincronizar automáticamente contactos entre dos cuentas de Google diferentes. En su lugar, deberá realizar un proceso manual de dos pasos en el que exporte sus contactos de una cuenta a un archivo de valores separados por comas (CSV) y luego importe los contactos de ese archivo a su segunda cuenta.

(how-to)

Cómo ver fotos en vivo en el Apple Watch

Cómo ver fotos en vivo en el Apple Watch

Mucho se ha hecho de la nueva función Live Photos de Apple y con una buena razón, es realmente genial y una gran manera de preservar recuerdos especiales. Si posee un Apple Watch, puede ver Live Photos e incluso convertirlas en caras de reloj. Para ver Live Photos en su Apple Watch, primero debe sincronizar las fotos.

(how-to)