Gebruikers krijgen dan ook het advies om nooit onbekende opladers te gebruiken.

Snap ik niet.
Een toestel op een andere plaats achterlaten (zonder inlog beveiliging) kan ik me voorstellen.
Ook kan ik me voorstellen dat ze een toetsel kunnen jatten.


Maar sinds wanneer kan een oplader allerlei informatie van het toestel stelen?
Onder 'stroom voorziening' stel ik me het kabeltje voor dat de interne accu doet opladern.

Uit dit bericht valt af te leiden dat Kaspersky het niet onverstandig vind om Tor te gebruiken voor bankzaken, webmail en andere online-zaken, iets wat Tor zelf nadrukkelijk afraadt. Beetje vreemd als je het mij vraagt.


Toevallig hebben wij eerder dit jaar hier op de zaak eens mee geëxperimenteerd, en wat blijkt, je wil niet weten hoe goed dit advies is!

Ik ga er van uit dat je begrijpt dat dit voor smartphones e.d. geldt, hetzelfde kabeltje waarvan jij denkt dat het alleen gebruikt wordt om een accu te laden, wordt namelijk ook gebruikt om het toestel met een usb-poort te verbinden, er firmware op te knallen, data uit te lezen door herstel-bedrijven / opsporingsdiensten, etc. etc.

Een en ander is wel afhankelijk van het merk & type toestel wat enige kennis bij de aanvallende partij vereist, maar mocht een aanvaller er in slagen op deze wijze toegang te krijgen tot het toestel is wel gelijk vrijwel alles mogelijk zonder dat het slachtoffer hier weet van heeft!
Ik denk dat dit probleem met USB-annex-oplaadpoorten in de toekomst vaak misbruikt gaat worden, wellicht is het een idee om een adapter te ontwikkelen die enkel stroomkabouterbeestjes doorlaat tussen de oplader en het toestel, wat technische gezien prima mogelijk is.

Daarbij blijf ik privé natuurlijk lekker hangen op de zgn. dumb-phone :p

Sinds de meeste laad kabels usb kabels zijn, en die doen meer dan alleen laden.
De eenvoudige oplossing om een verloop kabeltje mee te nemen met alleen de power draden is helaas niet voor alle aparaten geschikt.

"Kaspersky adviseert Tor Browser bij VPN-blokkade"

De Torbrowser heeft standaard de addon HTPS Everywhere van EFF ingebouwd.
Dat dwingt sites die over https beschikken ook een verbinding aan te bieden over https.
Of de sites die je zelf gebruikt voor dit soort zaken van https gebruikmaken is de vraag, waarschijnlijk wel, dan is nog de vraag of ze gebruikmaken van HSTS implementatie, goede kans van niet (wat wel zou moeten, zeker in geval van wifi).

Zelf zou ik de Torbrowser ook niet zo gauw gebruiken voor bankzaken, in ieder geval zou ik in een dergelijke situatie wel gebruikmaken van de HTTPS Everywhere addon met Noscript daarbij (die ook standaard in de Torbrowser zit).

Mogelijk dat dat op de achtergrond in het advies van Kaspersky is meegewogen en voor het gebruikersgemak heeft geresulteerd in het advies om direct de Torbrowser te gebruiken in plaats van een reguliere Firefox versie met aanvullende addons die gebruikers dan apart moeten installeren e instellen.

In de Torbrowser zijn al een aantal belangrijke settings in de addons gekozen, alsmede belangrijke aanpassingen onder de about:config. Kijkend naar die gemaakte standaard keuzes kan je nog wel je vraagtekens zetten, settings zijn zeker nog hier en daar aan te scherpen.
Evengoed stukken beter dan een standaard blanco Firefox browser, daar was het Kaspersky waarschijnlijk om te doen.

Bankieren via Torbrowser wordt afgeraden als je anoniem wil blijven: aangezien je je moet identificeren bij je bank, lek je in feite al persoonsgegevens.
Om veilig te bankieren zonder dat je anoniem wil surfen is er geen enkel probleem op Torbrowser te gebruiken.

In principe zijn het slave micro-usb's. Maar ik meen dat op Blackhat vorig jaar een hardware hack gepresenteerd was met een arduino achtig board. Maar echt in het wild is het zover ik weet nog niet voorgekomen.



Sja, het probleem dat Kaspersky probeert te ondervangen is het meekijken van de hotspotbeheerders. Dat probleem ben je kwijt.

gevonden:

https://www.blackhat.com/us-13/briefings.html#Lau

MACTANS: INJECTING MALWARE INTO IOS DEVICES VIA MALICIOUS CHARGERS
Apple iOS devices are considered by many to be more secure than other mobile offerings. In evaluating this belief, we investigated the extent to which security threats were considered when performing everyday activities such as charging a device. The results were alarming: despite the plethora of defense mechanisms in iOS, we successfully injected arbitrary software into current-generation Apple devices running the latest operating system (OS) software. All users are affected, as our approach requires neither a jailbroken device nor user interaction.

In this presentation, we demonstrate how an iOS device can be compromised within one minute of being plugged into a malicious charger. We first examine Apple’s existing security mechanisms to protect against arbitrary software installation, then describe how USB capabilities can be leveraged to bypass these defense mechanisms. To ensure persistence of the resulting infection, we show how an attacker can hide their software in the same way Apple hides its own built-in applications.

To demonstrate practical application of these vulnerabilities, we built a proof of concept malicious charger, called Mactans, using a BeagleBoard. This hardware was selected to demonstrate the ease with which innocent-looking, malicious USB chargers can be constructed. While Mactans was built with limited amount of time and a small budget, we also briefly consider what more motivated, well-funded adversaries could accomplish. Finally, we recommend ways in which users can protect themselves and suggest security features Apple could implement to make the attacks we describe substantially more difficult to pull off.