מכשירים המחוברים ל-USB אינם מאובטחים כפי שחושבים

USB-connected devices

This post is also available in: English (אנגלית)

ליקויי אבטחה שנמצאו במכשירים המחוברים ל-USB מעלים שאלות לגבי אמינותם של המכשירים. נראה כי יש מקום לתכנן מחדש את חיבורי ה-USB כדי לקבל רמת אבטחה גבוהה יותר, כך טוענים חוקרים.

חיבורי USB, הממשק הנפוץ ביותר בעולם לחיבור מכשירים חיצוניים למחשבים, הם פגיעים ל"דליפת" מידע, לפי קבוצת חוקרים אוסטרלית מאוניברסיטת אדלייד.

לפי אתר האוניברסיטה, הקבוצה בדקה יותר מ-50 מחשבים שונים ומפצלי USB וגילתה כי מלמעלה מ-90% מהם דלף מידע למכשיר USB חיצוני. החוקרים השתמשו בנורת פלאג-אין זולה חדשה עם מחבר USB כדי "לקרוא" כל הקשת מקלדת מממשק ה-USB של מקלדת. הנתונים הועברו באמצעות בלוטות' למחשב אחר.

"מכשירים המחוברים ל-USB כוללים מקלדות, קוראי כרטיסים וקוראי טביעות אצבע, שלעיתים קרובות מעבירים למחשב מידע רגיש", אומר דר' יובל ירום, עמית מחקר בבית הספר למדעי המחשב באוניברסיטת אדלייד, העומד בראש הפרויקט.

“היה מקובל לחשוב שבגלל שהמידע הזה נשלח למחשב רק דרך מעבר תקשורת ישיר, הוא מוגן מפני מכשירים בלתי מאובטחים". "אבל המחקר שלנו מראה שאם מכשיר זדוני או כזה שעבר חבלה מכוונת מתחבר לפורטים סמוכים על אותו מפצל USB פנימי או חיצוני, המידע הרגיש הזה נלכד. משמעות הדבר שניתן לגלות ולגנוב בקלות הקשות מקלדת שמראות ססמאות או מידע פרטי אחר."

לדברי דר' ירום, "דליפה זו מערוץ לערוץ" היא כמו דליפת מים מצנרת. "החשמל זורם כמו המים לאורך הצינורות אך הוא עלול לדלוף". "בפרויקט שלנו הראינו כי ניתן לנטר את תנודות מתח של קווי הנתונים של הפורט של ה-USB מפורטים סמוכים על מפצל ה-USB".

דר' ירום אמר שמחקר אחר הראה כי כאשר USB נופל על הרצפה, ב-75% מהמקרים ירימו אותו ויחברו אותו למחשב. זאת למרות שיתכן שהוא חובל במכוון כדי לשלוח הודעה דרך בלוטות' או סמס למחשב כלשהו ברחבי העולם.

"המסר העיקרי הוא שאין לחבר ל-USB שום דבר אלא אם יודעים שניתן לבטוח בו.. עבור משתמשים המשמעות היא שלא להתחבר למכשירים של אנשים אחרים. עבור ארגונים הדבר דורש אבטחה מוגברת, כאשר יש לבדוק את כל שרשרת האספקה כדי להבטיח שהמכשירים אכן מאובטחים", הוא מציין.

לדבריו, הפתרון לטווח הארוך הוא שחיבורי ה-USV יתוכננו מחדש כדי לספק אבטחה טובה יותר. "ה-USB תוכנן בהנחה שכל מה שמתחבר נמצא תחת בקרת המשתמש וניתן לבטוח בו – אבל אנחנו יודעים שהמצב הוא אחר. ה-USB לעולם לא יהיה בטוח אלא אם הנתונים מוצפנים לפני שנשלחים".