סמארטפונים וטאבלטים נמצאים בסכנה כשהם נטענים באמצעות חיבור USB - כך גילו מומחי מעבדת קספרסקי. לדבריהם, כשאנחנו מחברים את המכשיר שלנו לנקודות טעינה חופשיות בנמלי תעופה, בתי קפה, פארקים ציבוריים ותחנות תחבורה ציבורית, אנחנו לא בהכרח רק מטעינים אותם.
מומחי מעבדת קספרסקי היו סקרניים לגלות האם הנתונים שמאוחסנים במכשיר מועברים לנקודות הטעינה האלה במהלך הטעינה? כחלק מהמחקר בחנו המומחים כמה דגמים המפעילים גרסאות שונות של מערכות ההפעלה אנדרואיד ו-iOS, במטרה להבין אלו נתונים משדר המכשיר החוצה בעת שהוא מחובר.
הבדיקה הראתה שבמהלך "לחיצת היד" ( - Handshakeתהליך החיבור בין המכשיר והמחשב אליו הוא מחובר), משודרים שם המכשיר, יצרן המכשיר, סוג המכשיר, מספר סידורי, נתוני קושחה, נתוני מערכת הפעלה, רשימת הקבצים ומספר זיהוי השבב. כמות הנתונים המועברת בתהליך משתנה לפי המכשיר ונקודת החיבור, אבל כל סמארטפון מעביר את אותו מידע בסיסי כמו שם המכשיר, היצרן, מספר סידורי וכו'.
עצם חשיפת הנתונים מהווה בעיית אבטחה אבל ממש לא הבעיה הכי גדולה. כבר לפני כשנתיים הוצגו הוכחות לכך שמכשיר נייד יכול להיפגע מקוד זדוני פשוט על ידי חיבורו לעמדת טעינה מזויפת. כעת מומחי קספרסקי הצליחו לשחזר את התוצאה. באמצעות שימוש במחשב PC רגיל וכבל מיקרו USB סטנדרטי שחומש במערך של פקודות מיוחדות (המכונות AT-commands), הם הצליחו להתקין אפליקציה בליבת המכשיר. הדבר שווה ערך לחשיפה מלאה של הסמארטפון, אפילו שלא נעשה שימוש בקוד זדוני.
למרות שלא פורסם עד היום מידע אודות אירועים ממשיים, הכוללים עמדות טעינה מזויפות, כבר נצפתה בעבר גניבת נתונים ממכשירים המחוברים למחשב. טכניקה זו הייתה בשימוש למשל בשנת 2013 כחלק מקמפיין ריגול הסייבר Red October. קבוצת Hacking Team עשתה שימוש בחיבור של מחשב כדי לטעון קוד זדוני למכשיר נייד.
על ידי בדיקת נתוני הזיהוי המתקבלים מהמכשיר הנייד, ההאקרים היו מסוגלים לגלות את דגם המכשיר שהקורבן השתמש בו ולקדם את ההתקפה שלהם באמצעות כלי הפריצה המתאים. לא היה ניתן לבצע את הדברים אם המכשיר לא היה מחליף נתונים באופן אוטומטי עם המחשב ברגע חיבור ה- USB.
"מוזר לראות כי כמעט שנתיים לאחר פרסום הוכחת היכולת להדביק סמארטפון דרך USB, האפיק הזה עדיין פעיל", מתריע אלכסיי קומרוב, חוקר במעבדת קספרסקי. "סיכוני האבטחה הם ברורים: אם אתה משתמש קבוע, ניתן לעקוב אחריך באמצעות מספר זיהוי המכשיר. ניתן להעמיס על המכשיר שלך כל דבר מכלי פרסום ועד לכלי כופר. ואם אתה מקבל החלטות בחברה גדולה, תהפוך בקלות למטרה להאקרים מקצועיים. אתה אפילו לא צריך מיומנות גבוהה כדי לבצע התקפה שכזו. כל המידע שאתה זקוק לו נמצא באינטרנט".