EFF hekelt "bangmakerij" van FBI over usb-laadstations die malware verspreiden
De Amerikaanse burgerrechtenbeweging EFF heeft uitgehaald naar de FBI, omdat de opsporingsdienst onnodig paniek zaait over usb-laadstations die malware verspreiden. Eerder deze week adviseerde de FBI om gratis usb-oplaadstations op vliegvelden, hotels en winkelcentra te vermijden. Aanvallers hebben volgens de Amerikaanse opsporingsdienst namelijk manieren gevonden om via deze apparaten spyware en malware op telefoons te krijgen.
De afgelopen jaren zijn er verschillende van dergelijke waarschuwingen verschenen, zonder dat er echt concrete details of voorbeelden van daadwerkelijke infecties of aanvallen worden gegeven. Ook het laatste bericht van de FBI mist dergelijke informatie. In een reactie tegenover Snopes laat een woordvoerder van de opsporingsdienst weten dat het om een "public service announcement" gaat, die is gebaseerd op een eerder bericht van toezichthouder FCC. De FCC kan echter ook geen concrete voorbeelden geven en heeft ook geen toename van klachten over "juice jacking" gezien, zoals het verspreiden van malware via laadstations wordt genoemd.
"Wanneer je berichten hoort over openbare laadstations die mensen malware geven, moet je je afvragen welke kwetsbaarheid is gebruikt en wanneer het wordt verholpen, alsmede hoe wijdverbreid het probleem is en hoeveel mensen hierdoor worden geraakt", aldus de EFF. Volgens de burgerrechtenbeweging ontbreekt deze informatie in de berichten over juice jacking die om de zoveel tijd verschijnen, omdat die vaak gebaseerd zijn op oudere berichten waarin deze informatie ook ontbreekt.
De EFF stelt dat er ongetwijfeld ook in de toekomst usb-kwetsbaarheden gevonden zullen worden, net zoals het geval is met browsers en andere apps. Sommige van die beveiligingslekken zijn te gebruiken om telefoons met malware te infecteren, zeker wanneer veel mensen hun beveiligingsupdates niet installeren. "Maar met een beetje scepsis en gezond verstand kunnen we paniekzaaierij over laadstations in de toekomst voorkomen", besluit de burgerrechtenbeweging.
Was vrij duidelijk voor techneuten maar niet voor de gewone mens.
Bedankt EFF.
Blijkbaar zitten er wat overspannen hype types bij de FCC communicatie , en echoed de FBI dat ook nog zonder zelf te valideren wat nu werkelijk de schaal van het "probleem" is .
Erg jammer wanneer met mensen met de mantel van geloofwaardigheid van een FCC of FBI spreken en dan urban legends versterken.
Hebben ze ook al gewaarschuwd voor wakker worden met "welcome to the aids club" op de spiegel of zonder nier en met een groot litteken na een vage seksdate ?
Ik heb tot nu toe nog nooit een bericht gezien dat er daadwerkelijk aangegeven was dat door een openbare laadkabel een telefoon overgenomen zou zijn.
Wel heel veel FUD en misleiding, zoals aantallen infecties van mobiele telefoons noemen in dezelfde zin als laden aan een laadpaal. Maar die infecties komen vrijwel allemaal door het ZELF uitzetten van de beveiliging van de telefoon en opzettelijk downloaden uit onfrisse playstores, of het installeren van rond-gemailde apk's.
Dat is geen infectie, dat is gewoon stupiditeit anno 2023. Lemmings zijn nog slimmer.
Natuurlijk kan het zijn dat bepaalde overheden niet willen dat je jij gaat openbaar laden, omdat er dan een serieus window-of-opportunity ontstaat waarbij misschien ontdekt wordt dat statelijke overheden aan de andere kant van de atlantische oceaan bepaalde achterdeurtjes hebben ingebouw via deze interface... en als cybercriminelen dat gaan onderzoeken ontdekken ze misschien deze achterdeurtjes... door het publiek deze vorm van laden te ontraden zullen cybercriminelen minder snel geneigd zijn dit te researchen zodat hun backdoor langer bruikbaar blijft.
Dat zijn usb aanvallen door een aansluiting niet alleen storage te laten zijn maar ook keyboard, muis,netwerk...
dus omdat er geen toename (noch afname) vast te stellen valt, is het probleem geen probleem?
Dat zijn usb aanvallen door een aansluiting niet alleen storage te laten zijn maar ook keyboard, muis,netwerk...
er zijn genoeg USB aanvallen, maar deze vereisen vrijwel allemaal een 'speciale' kabel tussen toetsenbord en PC of tussen apparaat en PC... niet tussen locked-gsm en oplaadpoort.
En de meeste mensen hangen niet een USB 101 key toetsenbord aan hun GSM om hun face unlock te draaien.
En er zullen vast mensen zijn die wel een bluetooth keyboard gebruiken aan het gsm om hun wachtwoorden in te kloppen en dat is weer makkelijk af te luisteren, maar ik heb nog geen werkende magische exploit gezien waarbij het insteken van een USB kabel in een iPhone of Samsung android deze gsm volledig gep0wned wordt.
zou wel lekker cashen zijn in p2o
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
