¿Es seguro conectar una batería USB aleatoria desde una bandeja a mi teléfono sin detener la transferencia de datos de alguna manera?

6

He hecho la pregunta ¿Conexión USB de solo energía para cargar mi teléfono, tan simple como cortar las líneas de datos? en electrónica SE. Para evitar el "¿Por qué quieres hacer esto?" Solicitud de aclaración, le expliqué. Aquí está el primer párrafo:

  

En una pizca compré un "cargador de teléfono" de $ 3 de la papelera que se muestra a continuación, pero ahora estoy demasiado asustado para conectarlo directamente a mi teléfono, lo que cuesta órdenes de magnitud más. Si bien un diseño deficiente podría presentar cualidades indeseables para la potencia de salida de 5V, no tengo idea si hay algo en el interior conectado a las líneas de datos, parte de la angustia del USB del siglo XXI que tiene muchas personas diciendo "no en mi puerto USB, no lo hace". ". Consulte esta respuesta de seguridad SE para obtener información sobre la angustia del USB.

Me regañaron repetidamente en los comentarios por querer ser cuidadosos, por ejemplo

  

¿Y a qué le teme al cargador? ¿Qué va a hacer? ¿Dile a tu esposa que has estado viendo sitios pornográficos?

Sin embargo, hubo algunas aclaraciones:

  

También ha malinterpretado la pregunta vinculada a Security SE. Esos se conectan a un host USB y les hacen cosas desagradables haciéndose pasar por un tipo diferente en el dispositivo. Su cargador es el anfitrión en este caso, por lo que no puede presentarse como ningún otro dispositivo en su teléfono. Podría (quizás) implementar un host e instalar controladores (en sí mismo) para los dispositivos USB que presenta su teléfono, pero tendría que estar configurado para un tipo particular de teléfono.

     

Me preocuparía más si dañara mi teléfono que por algunos problemas nebulosos de "seguridad". Repito: ¿Qué crees que va a hacer? Preocúpate más por lo que te espían los programas de Facebook, los juegos al azar de la tienda de juegos que un pedazo de hardware que no tiene forma de utilizar la información que te proporciona.

Pregunta: entiendo que comprar cargadores de teléfonos de $ 3 al azar de un contenedor es una tontería, y luego tener que preguntar sobre cómo cortar las líneas de datos en un cable USB es una prueba más de esto, pero Android o iOS, ¿es seguro tomar uno de estos y conectarlo inmediatamente a mi teléfono? Si tuviera un "chip extra" en el interior y estuviera preconfigurado para un sistema operativo determinado, ¿podría entonces hacer algo que planteara problemas de seguridad?

    
pregunta uhoh 16.08.2017 - 19:04
fuente

3 respuestas

5

Ah, sí, los comentarios que citas parecen ser lamentablemente ignorantes (y bastante irrespetuosos porque tienes una pregunta legítima).

¡Bienvenido al mundo del odio de papel de aluminio!

Su temor de que la batería sea más que una batería me parece perfectamente razonable.

El comentario es, por supuesto, correcto, que la dirección se invierte en relación a la tradicional Ataque de BadUSB : USB Stick --> PC vs USB Power Pack <-- Phone , por lo que su teléfono no instalará automáticamente los controladores suministrados por el dispositivo. Por lo tanto, BadUSB no se aplica directamente, pero eso de ninguna manera descarta la posibilidad de explotar un desbordamiento de búfer o una vulnerabilidad similar en el analizador de paquetes USB del teléfono.

Parece perfectamente razonable que el paquete de energía USB pueda tener un chip que explote alguna vulnerabilidad desconocida y sin parchear en los controladores USB de Android o iOS (también conocido como "un ataque de 0 días") que podría llevar a un compromiso total de su teléfono. . Con los dos sistemas operativos tratando de obtener una mayor funcionalidad de ese puerto USB, es probable que haya un nuevo código en sus pilas USB, y como con todo el nuevo código, es probable que haya algunos días flotando alrededor.

En cuanto a la mitigación

Aplique el mismo razonamiento que aplicaría al conectar una memoria USB en su CP: si no confía en el dispositivo, no lo conecte. No compre dispositivos de fabricantes dudosos, y siempre compre productos electrónicos en persona en lugar de hacerlo en línea, ya que la NSA tiene un historial comprobado de hacerlo (y si la NSA lo está haciendo, seguramente no serán los únicos ).

Los paquetes realmente interceptados por la NSA para poner puertas traseras en la electrónica

    
respondido por el Mike Ounsworth 16.08.2017 - 20:13
fuente
2

Eliminar los pines de datos de los enchufes USB debería ser suficiente. Mejor aún, solo compra un syncstop.

enlace

Podría tener uno conectado a cualquier dispositivo desde el que cargue la batería y luego otro desde la batería a su teléfono. Sólo el poder se pasa de esa manera.

También puedes hacerlos, solo busca "hacer un condón USB" en línea.

    
respondido por el Joshua Gimer 17.08.2017 - 04:05
fuente
0

Puede ser conveniente ver si hay alguna actividad en el dispositivo USB usando Wireshark con el USBPcap, si es compatible con su sistema. Lo tienen como opción en la instalación. Si tiene algún dispositivo USB con comportamiento sospechoso, esta es una excelente manera de obtener algo de tráfico.

    
respondido por el JuliaTheMad 17.08.2017 - 04:18
fuente

Lea otras preguntas en las etiquetas