Auto Świat Wiadomości Aktualności Port USB przydatny i... niebezpieczny. W sprawie tzw. juice jackingu interweniował nawet RPO

Port USB przydatny i... niebezpieczny. W sprawie tzw. juice jackingu interweniował nawet RPO

Rzecznik Praw Obywatelskich (RPO) Marcin Wiącek poprosił byłego już ministra cyfryzacji Janusza Cieszyńskiego o przekazanie informacji dotyczących zabezpieczenia danych dostępnych w aplikacjach rządowych, np. mObywatelu, przed nieuprawnionym dostępem i przejęciem. Sprawa jest istotna szczególnie w świetle zagrożenia, jakim jest tzw. juice jacking. Polega on na atakowaniu urządzeń elektronicznych z wykorzystaniem publicznych portów USB. Resort cyfryzacji właśnie odpowiedział na prośbę RPO.

Coraz częściej pojazdy komunikacji miejskiej wyposażane są w różnorodne udogodnienia dla pasażerów, ale korzystanie z nich nie zawsze jest bezpieczne
Coraz częściej pojazdy komunikacji miejskiej wyposażane są w różnorodne udogodnienia dla pasażerów, ale korzystanie z nich nie zawsze jest bezpieczneMariusz Kamiński / Auto Świat
  • Rzecznik Praw Obywatelskich poprosił ministra cyfryzacji o informacje dotyczące ochrony przed cyberatakami poprzez tzw. juice jacking
  • Niepokój RPO budzi możliwość zainfekowania powszechnie wykorzystywanych urządzeń, w których znajdą się dane wrażliwe
  • Resort cyfryzacji zwraca uwagę na już wprowadzone zabezpieczenia i radzi, jak można ograniczyć ryzyko kradzieży danych

Cyberataki są jednym z największych zagrożeń XXI wieku i wręcz stały się powszechnym zjawiskiem. Od pewnego czasu dość szeroko omawianym problemem jest tzw. juice jacking, czyli cyberatak, w którym do atakowania urządzeń wykorzystywana jest uniwersalna magistrala szeregowa (USB). Wśród zagrożonych urządzeń znajdują się przede wszystkim smartfony, tablety i laptopy, a celem ataku jest kradzież danych i/lub instalacja złośliwego oprogramowania.

Dalsza część tekstu pod materiałem wideo:

Dalszy ciąg artykułu pod materiałem wideo

Aplikacja mObywatel i jej podobne w centrum zainteresowania hakerów

Problem okazuje się na tyle poważny, że zainteresował się nim Rzecznik Praw Obywatelskich. Wszystko dlatego, że tego typu cyberataki bardzo głęboko ingerują w prywatność użytkowników sprzętów. Jak wyjaśnia Biuro Rzecznika Praw Obywatelskich, po podłączeniu urządzenia do zainfekowanego portu USB hakerzy uzyskują wszystkie dane osobowe lub infekując sprzęt złośliwym oprogramowaniem. Dzięki temu mogą skopiować dane wrażliwe ze smartfona, tabletu bądź komputera oraz ukraść tożsamość przy wykorzystaniu danych, np. z serwisów bankowych, czy też śledzić urządzenia.

Ryzyko związane z korzystaniem z publicznych portów USB wykracza daleko poza wymienione niebezpieczeństwo. W ułamku sekundy hakerzy mogą uzyskać nazwę użytkownika i hasła. To efekt możliwości zeskanowania smartfona w poszukiwaniu konkretnych informacji, szczegółów kont użytkownika, danych związanych z bankowością elektroniczną i aplikacji obsługującej przelewy. Co gorsza, niebezpieczne oprogramowanie może przez długi czas monitorować zainfekowane urządzenie, a nawet "zamrozić" je i zaszyfrować dane, uniemożliwiając powtórny dostęp prawowitego właściciela.

Zainteresowanie ze strony RPO wynika z możliwości zainfekowania urządzeń, na których zainstalowane są rządowe aplikacje, np. mObywatel. Aplikacja mObywatel ułatwia i zwiększa wygodę załatwiania spraw urzędowych, a do tego pozwala korzystać z dokumentów tożsamości. To najwrażliwsze dane, które są szczególnie pożądane z punktu widzenia hakerów.

Potencjalnie niebezpieczny port USB. Jak uniknąć problemów?

W odpowiedzi na prośbę RPO Paweł Olszewski, pełniący obecnie funkcję sekretarza stanu w Ministerstwie Cyfryzacji, wskazał m.in., że już na etapie projektowania aplikacji mObywatel uwzględniono zagrożenia związane z nieuprawnionym dostępem do urządzenia i możliwością uruchomienia złośliwego oprogramowania na urządzeniu.

"Warunkiem uruchomienia aplikacji jest prawidłowe działanie urządzenia oraz systemu operacyjnego, w tym sprawdzenie, czy telefon nie został poddany operacji "rootowania", czyli obejścia podstawowych mechanizmów bezpieczeństwa zapewniających między innymi izolację pomiędzy wątkami procesora, co ogranicza możliwość dostępu do pamięci innych programów" — wyjaśnia Olszewski i dodaje, że gdy urządzenie zostało poddane "rootowaniu", aplikacji nie da się uruchomić. Ponadto wszystkie dane przechowywane są w specjalnym kontenerze w zaszyfrowanej postaci i dostęp do nich możliwy jest dopiero po prawidłowym uwierzytelnieniu w aplikacji, a w momencie opuszczania kontenera dane są dodatkowo podpisywane kluczem użytkownika.

Olszewski podkreśla, że w ramach profilaktyki i przeciwdziałania atakom typu juice jacking resort zachęca do unikania publicznych ładowarek i zaleca korzystanie z prywatnych źródeł zasilania i power banków. Sposobem na ograniczenie ryzyka jest także używanie kabli przeznaczonych wyłącznie do ładowania (only charge), które nie przesyłają danych cyfrowych. Równie ważne jest także systematyczne aktualizowanie systemów operacyjnych i aplikacji.

Autor Mariusz Kamiński
Mariusz Kamiński
Dziennikarz AutoŚwiat.pl
Pokaż listę wszystkich publikacji
materiał promocyjny

Sprawdź nr VIN za darmo

Zanim kupisz auto, poznaj jego przeszłość i sprawdź, czy nie jest kradziony lub po wypadku

Numer VIN powinien mieć 17 znaków