محصول به سبد خرید افزوده شد!
0
هیچ محصولی در سبد خرید نیست
به فروشگاه بروید

ویژه سازمان ها

محصولات اقتصادی

|             بلاگ

فروش ویژه

021 77265807

بدانید
0 دیدگاه
زمان مطالعه : 5 دقیقه

سرقت اطلاعات در حین شارژ گوشی هوشمند

انتشار : 27 دی , 1403
آخرین بروزرسانی : 22 خرداد , 1404
ChoiceJacking attack

آیا ممکن است هنگام شارژ گوشی در ایستگاه‌های عمومی، عکس‌ها و اطلاعات شما دزدیده یا پاک شوند؟ متأسفانه بله!

اگر تا به حال گوشی‌تان را در مترو، فرودگاه، کلینیک یا هر مکان عمومی دیگری به درگاه شارژ USB متصل کرده‌اید، بهتر است این مطلب را با دقت بخوانید. با وجود تمام تدابیر امنیتی شرکت‌های سازنده، همچنان راه‌هایی برای دسترسی غیرمجاز به اطلاعات شما وجود دارد.

اولین بار در سال ۲۰۱۱، هکرها حمله‌ای به نام “juice jacking” را معرفی کردند: در این روش، اگر پورت شارژ به جای انتقال فقط برق، به یک رایانه پنهانی متصل باشد، می‌تواند از طریق پروتکل‌هایی مثل MTP یا PTP به اطلاعات گوشی شما دست پیدا کند یا آن‌ها را کپی و حذف کند.

برای مقابله با این تهدید، اپل و گوگل قابلیتی را معرفی کردند که هنگام اتصال گوشی به دستگاهی با قابلیت انتقال داده، از کاربر می‌پرسد که آیا فقط قصد شارژ دارد یا اجازه انتقال داده هم می‌دهد. این راه‌حل سال‌ها مؤثر بود… تا اینکه در سال ۲۰۲۵، محققان دانشگاه فناوری گراتس در اتریش، راهی برای دور زدن این سیستم پیدا کردند.

حمله جدید: ChoiceJacking

در حملات جدیدی که با عنوان ChoiceJacking شناخته می‌شوند، ایستگاه شارژ مخرب به‌طور خودکار تأیید می‌کند که کاربر با انتقال داده موافقت کرده است، حتی اگر در واقع این‌طور نباشد!

بسته به نوع گوشی و نسخه سیستم‌عامل، سه نوع مختلف از این حمله وجود دارد که هر کدام به روش خاصی محدودیت‌های USB را دور می‌زنند:

روش اول (قابل اجرا روی iOS و Android)

در این روش، ایستگاه شارژ به‌ظاهر معمولی، در واقع یک میکروکامپیوتر است که همزمان نقش کیبورد USB، کامپیوتر میزبان و کیبورد بلوتوث را بازی می‌کند.

زمانی که گوشی وصل می‌شود، ابتدا به‌صورت یک کیبورد USB ظاهر می‌شود و فرمان‌هایی برای روشن کردن بلوتوث و اتصال به همان دستگاه مخرب (به‌عنوان کیبورد بلوتوثی) ارسال می‌کند. سپس دستگاه از طریق USB مجدداً متصل می‌شود، گوشی پیامی مبنی بر اجازه انتقال داده نشان می‌دهد و ایستگاه مخرب، از طریق بلوتوث، گزینه تأیید را انتخاب می‌کند!

روش دوم (ویژه Android)

در این حمله، شارژر به‌عنوان کیبورد USB ظاهر می‌شود و با ارسال تعداد زیادی کلید، بافر ورودی گوشی را اشغال می‌کند. در همین زمان، دستگاه اتصال USB را قطع و مجدداً برقرار می‌کند، اما حالا دیگر به‌عنوان یک کامپیوتر قابل نفوذ وارد میشود.

در این لحظه، گوشی از کاربر می‌پرسد که آیا اجازه انتقال داده را می‌دهد یا نه؟ اما در واقع، آخرین بخش از آن ورودی‌های فشرده‌شده شامل یک دستور برای تأیید خودکار است!

روش سوم (همچنان Android)

در این روش، نقصی در پیاده‌سازی پروتکل AOAP (ویژه اندروید) مورد سوءاستفاده قرار می‌گیرد. دستگاه مخرب بلافاصله به‌عنوان یک کامپیوتر متصل می‌شود و در لحظه‌ای که صفحه تأیید نمایش داده می‌شود، کلیدهای مجازی را از طریق AOAP ارسال می‌کند. هرچند طبق استاندارد نباید همزمان بتوان به دو حالت کار کرد، اما در عمل بسیاری از گوشی‌ها این محدودیت را نادیده می‌گیرند.

کدام دستگاه‌ها در برابر ChoiceJacking محافظت می‌شوند؟

  • اپل و گوگل در نسخه‌های جدید iOS/iPadOS 18.4 و Android 15 این حملات را مسدود کرده‌اند. اکنون برای تأیید انتقال داده، فقط فشار دادن دکمه تأیید کافی نیست، بلکه باید اثر انگشت یا رمز عبور وارد شود.

اما یک نکته مهم برای کاربران اندروید:
حتی اگر گوشی‌تان به Android 15 به‌روزرسانی شده باشد، این تضمین نمی‌کند که در برابر حمله ایمن باشید. برای مثال، گوشی‌های سامسونگ با رابط One UI 7 حتی پس از به‌روزرسانی، ممکن است هنوز تأیید رمز عبور را نخواهند.

توصیه: گوشی‌تان را به یک کامپیوتر مطمئن وصل کرده و بررسی کنید آیا هنگام انتخاب حالت اتصال، نیاز به تأیید هویت دارید یا نه. اگر نه، از ایستگاه‌های شارژ عمومی استفاده نکنید.

چقدر باید نگران باشیم و چطور محافظت کنیم؟

با اینکه برخی نهادهای امنیتی درباره این تهدیدها هشدار داده‌اند، تا به امروز هیچ حمله واقعی مستندی گزارش نشده است. این به معنی عدم وقوع نیست، اما نشان می‌دهد که هنوز گسترده نشده‌اند.

با این حال، برای احتیاط:

🔋 بهترین روش شارژ ایمن:

  • استفاده از شارژر یا پاوربانک شخصی

  • یا استفاده از آداپتورهای مخصوص «مسدودکننده داده USB» (که فقط برق را عبور می‌دهند، نه اطلاعات). به این ابزارها گاهی «روکش USB» هم گفته می‌شود.

  • این ابزارها ممکن است سرعت شارژ گوشی‌های جدید را کاهش دهند، چون برای شارژ سریع نیاز به سیگنال داده هم هست.

💡 همچنین می‌توانید از کابل‌های مخصوص شارژ-only استفاده کنید که قابلیت انتقال اطلاعات ندارند — اما حتماً قبل از استفاده آن را در خانه با کامپیوتر تست کنید تا مطمئن شوید هیچ پیامی برای انتقال داده نمایش داده نمی‌شود.

مهم‌ترین توصیه

به‌روز نگه داشتن سیستم‌عامل گوشی از مهم‌ترین راه‌های مقابله با این حملات است. هر زمان که گوشی را به پورت USB وصل کردید، صفحه‌نمایش را با دقت نگاه کنید. اگر به‌جای شارژ مستقیم، پیامی درباره نوع اتصال نمایش داده شد، حتماً گزینه “فقط شارژ” را انتخاب کنید.

و اگر شک کردید، بهتر است کلاً آن شارژر را کنار بگذارید و به دنبال یک منبع برق امن‌تر باشید. حفظ امنیت اطلاعات، ارزشش را دارد!

اگر سؤال یا نگرانی خاصی در این زمینه دارید، خوشحال می‌شویم در بخش نظرات پاسخگو باشیم. 😊🔒📱

ساناز بهداروند 5 نوشته

محصولات

مطالب مرتبط
28
تیر
🦠 وقتی «کلاینت DeepSeek» فقط یک تروجان است!
28
تیر
کلاه‌برداران چگونه به گیمرهای نوجوان حمله می‌کنند؟
28
تیر
چطور برنامه‌های کسپرسکی رو از فروشگاه‌های دیگه نصب یا آپدیت کنیم؟
28
تیر
فریب با نسخه جعلی ChatGPT برای ویندوز
دیدگاه ها

دیدگاهتان را بنویسید

پاسخگویی

پرداخت آنلاین

تضمین اصالت

انتخاب درست ، آرامش دیجیتال

فروش نرم‌افزارهای اورجینال و لایسنس‌دار اداری و امنیتی، همراه با پشتیبانی فنی، اصالت کالا و خدمات پس از فروش

آمادسافت، عرضه‌کننده تخصصی نرم‌افزارهای اورجینال و دارای لایسنس قانونی، با ارائه محصولات متنوع در حوزه‌های اداری، امنیتی و کاربردی، پاسخگوی نیاز سازمان‌ها و کاربران حرفه‌ای است. ما با تضمین اصالت محصولات و همکاری با برندهای جهانی، تجربه‌ای ایمن، سریع و قابل اعتماد را فراهم می‌کنیم. پشتیبانی فنی حرفه‌ای، به‌همراه خدمات پس از فروش مطمئن، از ویژگی‌های متمایز ماست.

کلیه حقوق مادی و معنوی این وب سایت متعلق به آمادسافت می باشد.    |     طراحی و توسعه، نوروزی

زمینه‌های نمایش داده شده را انتخاب نمایید. بقیه مخفی خواهند شد. برای تنظیم مجدد ترتیب، بکشید و رها کنید.
  • تصویر
  • امتیاز
  • قيمت
  • موجودی
  • افزودن به سبد خرید
  • اطلاعات اضافی
برای مخفی‌کردن نوار مقایسه، بیرون را کلیک نمایید
مقایسه

برای شروع گفتگو بر روی نام کارشناس کلیک کنید