Kwaadaardige batterij kan gegevens van smartphones stelen
Onderzoekers hebben een nieuwe aanval bedacht waarbij kwaadaardige batterijen worden ingezet om gegevens van smartphones te stelen. Smartphones beschikken steeds vaker over "smart batterijen" die voor een langere levensduur moeten zorgen. Deze batterijen vormen echter ook een gevaar voor de privacy van de gebruiker, aldus onderzoekers van Technion, Hebrew University en UT Austin (pdf).
Een speciaal geprepareerde batterij is namelijk in staat om het gedrag van de gebruiker te monitoren en gegevens naar een aanvaller te versturen. Het gebruik van een kwaadaardige batterij heeft volgens de onderzoekers verschillende voordelen voor de aanvaller. De aanval is lastig te detecteren en de batterij is eenvoudig toe te voegen. Een aanvaller hoeft slechts korte tijd toegang tot het toestel te hebben. Dit kan bijvoorbeeld tijdens een beveiligingscontrole op het vliegveld, in een reparatiewinkel of door het toestel in de logistieke keten te onderscheppen.
Aan de hand van het stroomverbruik kan de batterij zien wat de gebruiker doet, zoals welke websites er worden bezocht, wat de gebruikt typt, wanneer er foto's worden gemaakt en wanneer er wordt gebeld. De opgevangen data moet vervolgens naar de aanvaller worden verstuurd, wat volgens de onderzoekers een uitdaging is, maar niet onmogelijk. Het zou bijvoorbeeld kunnen via wifi of Bluetooth of door gebruik te maken van een kwaadaardige app op het toestel zelf.
De onderzoekers ontwikkelden echter een andere methode waarbij de informatie automatisch wordt verstuurd als het doelwit een kwaadaardige website bezoekt. De website kan namelijk gebruikmaken van de html5 Battery Status API om met de batterij te communiceren waardoor er een zogeheten "covert channel" ontstaat voor het versturen van de informatie. "Ons onderzoek laat zien dat een aanval met een kwaadaardige batterij krachtig en haalbaar is. Het vereist alleen goedkope en compacte onderdelen", aldus de onderzoekers in hun conclusie. Ze stellen dat het lastig is om de aanval volledig te voorkomen en er verder onderzoek naar beschermingsmaatregelen is vereist.
Ik vraag me af of korte tijd genoeg is. Bij steeds meer smartphones is de behuizing 'waterdicht' verlijmd, zodat je echt enige tijd bezig bent met een batterijwissel.
Ik vraag me af of korte tijd genoeg is. Bij steeds meer smartphones is de behuizing 'waterdicht' verlijmd, zodat je echt enige tijd bezig bent met een batterijwissel.
Een batterij wisselen betekend ook dat je telefoon even uitgaat en je je code in ieder geval voor je sim weer moet intikken na een batterij wissel.
Dit heeft alleen een goede kans van slagen als het gebeurd wanneer je je telefoon inlevert reparatie ect.
Als je je auto onbeheerd met de sleutels er in langs de weg laat staan kun iemand anders er mee tegen een boom rijden.
Bij de dealer is hij ook niet veilig, want een kwaadwillende monteur zou hem in het kanaal kunnen rijden.
we hebben weer privacy data.
Goed voor facebook,goed voor google en hun tech-partners,
en jij als burger word gebruikt als een profiel met algoritmes.
Smart devices everywhere.
Om je te monitoren welke apps etc jouw batterij belasten zoals omschreven in het artikel "Aan de hand van het stroomverbruik kan de batterij zien wat de gebruiker doet, zoals welke websites er worden bezocht, wat de gebruikt typt, wanneer er foto's worden gemaakt en wanneer er wordt gebeld"
"Aan de hand van het stroomverbruik kan de batterij zien wat de gebruiker doet, zoals welke websites er worden bezocht, wat de gebruikt typt,"
Hoe dan???
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
