2023년 4월 미국 연방수사국(FBI)과 연방통신위원회(FCC)가 공공 충전스테이션을 이용해 스마트폰이나 PC를 해킹하는 '주스재킹'에 대해 경고하자 다양한 미디어가 주스재킹의 위험에 대해 다루었습니다. 그런데 기술미디어인 Ars Technica의 고위 보안편집자인 Dan Goodin 씨는 실제로 스마트폰에 주스재킹이 이루어질 가능성은 매우 낮고 세간의 반응은 과도한 것이라고 지적했습니다.
Those scary warnings of juice jacking in airports and hotels? They’re mostly nonsense | Ars Technica
https://arstechnica.com/information-technology/2023/05/fearmongering-over-public-charging-stations-needs-to-stop-heres-why/
Those scary warnings of juice jacking in airports and hotels? They’re mostly nonsense
Juice jacking attacks on mobile phones are nonexistent. So why are we so afraid?
arstechnica.com
주스재킹이란, 악의가 있는 인물이 역이나 카페 등에 구비되어 있는 스마트폰이나 PC용의 충전포트를 조작해 디바이스와 포트를 접속하는 케이블을 경유해 디바이스에 대한 해킹을 실행한다는 공격기법입니다.
일반적으로 USB나 Lightning의 단자에는 충전용 단자와 데이터 통신용 단자가 존재하고 있는데 충전용 포트에 접속했을 때는 충전용의 단자만이 사용되는 구조로 되어 있습니다. 그러나 악의적인 공격자에 의해 조작된 충전스테이션이나 케이블을 사용하는 경우 충전용 단자뿐만 아니라 데이터 통신용 단자도 사용되어 악성코드가 장치로 전송될 위험이 있다는 것.
FBI warns public against using free charging station, says ‘bad actors’ can introduce malware | Fox News
https://www.foxnews.com/us/fbi-warns-public-against-using-free-charging-station-says-bad-actors-introduce-malware
FBI warns public against using free charging station, says ‘bad actors’ can introduce malware
The FBI is warning the public not to use free charging stations at airports, hotels, and shopping centers because bad actors can use them to steal data from people's phones.
www.foxnews.com
Public charge stations are a danger to your security | TechRadar
https://www.techradar.com/news/public-charge-stations-are-a-danger-to-your-security
Public charge stations are a danger to your security
Don't trust
www.techradar.com
공공 충전스테이션을 이용한 경험이 있는 사람은 많기 때문에 연방수사국(FBI)과 연방통신위원회(FCC)의 경고는 '자신도 공격의 표적이 될지도 모른다'는 우려를 불러왔습니다.
그러나 FBI 및 FCC와 같은 정부기관이 주스재킹에 대해 경고하는 반면 사이버보안 전문가 대부분은 주스재킹의 위험에 대해 사람들에게 경고하지 않습니다. 그 이유는 지금까지 주스재킹을 이용한 해킹공격이 공식적으로 보고되지 않았고 해커가 주스재킹을 실행하는 것은 매우 어렵기 때문이라고 합니다.
스스로 공격적인 해킹툴을 설계하고 있는 보안연구자인 Mike Grover 씨는 “대략적으로 말하면, 공공장소에서 실제로 일어나고 있는 실제 사례를 아무도 제시할 수 없는 경우, 그것을 일반 사람에게 강조할 가치는 없다”며 주스재킹은 매우 제한적인 상황에서만 실행할 수 있는 기법이라고 설명했습니다. 게다가 Grover 씨는 공공의 충전스테이션에 관해 상정해야 할 리스크로서는 전원의 품질이나 커넥터의 파손이 더욱 중요도가 높다고 주장했습니다.
주스재킹은 2011년에 제창된 공격개념이며 그 후 몇 년 동안 보안연구자들은 주스재킹의 실증실험에 성공하여 주스재킹이 심각하게 받아들여야 할 위험으로 부각되었습니다. 이에 OS의 개발자 측도 계속적으로 OS의 보안을 강화해 온 결과, 주스재킹은 최신 OS에서는 거의 실행 불가능한 수법이 되었다고 합니다.
Goodin 씨는 "지난 5년 동안 최신 버전의 iOS 또는 Android를 실행하는 기기에 대해 실행 가능한 주스재킹을 입증한 사람은 없고 보안전문가 중에도 이러한 공격을 알고 있는 사람은 없으며 실제로 발생했다는 기록은 없다”고 강조했습니다.
물론 실제 기록이 없다고 해서 주스재킹이 불가능하다는 것이 아닌데, 일부 기업은 법집행기관을 상대로 스마트폰에 꽂은 케이블을 통해 해킹을 하고 데이터를 추출하는 디바이스 등을 판매하고 있습니다. 그러나 이 장치는 매우 비싸고 공격에는 상당한 시간이 걸리며 아직 패치가 적용되지 않은 제로데이 취약성을 악용할 필요가 있다는 것.
일반적으로 제로데이 취약성의 정보는 매우 비싸고 케이블을 통해 스마트폰의 데이터를 훔치는 등의 중요한 제로데이 취약성은 입수하는데 100만 달러 이상의 대가가 필요하다고 합니다. 해커가 공항에서 우연히 스마트폰을 충전한 일반인을 표적으로 하기 위해 이런 비용을 들일 리는 없고, 특정 중요도가 높은 타겟에 해킹을 하는 경우일 것으로 생각됩니다.
또한 USB 케이블에 위장한 해킹툴인 'O.MG Cable'이라는 제품도 판매되고 있는데, 이러한 해킹툴은 표적의 디바이스에 맞추어 조정할 필요가 있기 때문에 불특정 다수를 표적으로 한 공격에는 적합하지 않다는 것.
O.MG Cable - Hak5
https://shop.hak5.org/products/o-mg-cable
O.MG Cable
The O.MG Cable is a hand made USB cable with an advanced implant hidden inside. It is designed to allow your Red Team to emulate attack scenarios of sophisticated adversaries. Until now, a cable like this would cost $20,000 (ex: COTTONMOUTH-I). These cable
shop.hak5.org
Goodin 씨는 "FCC와 FBI의 경고는 비밀번호 취약점이나 보안업데이트를 설치하지 않는 행위에 경각심을 일으키기 위한 것"이라고 보았습니다.
'IT' 카테고리의 다른 글
| 수백만 대의 안드로이드 스마트폰과 안드로이드 TV에 악성코드가 미리 설치되어 있었다 (0) | 2023.05.22 |
|---|---|
| Pixel을 자동차 드라이브 레코더로 만드는 계획 (0) | 2023.05.19 |
| 구글, '마법의 거울'을 개발하는 'Project Starline'의 최신 프로토타입 공개 (0) | 2023.05.11 |
| 'IKEA의 의자에 앉으면 PC 화면이 어두워진다'는 괴현상의 원인과 대책 (0) | 2023.05.04 |
| 스마트폰 설정으로 위치정보를 OFF한 경우에도 통신사업자에게 위치정보가 샌다 (0) | 2023.05.02 |
| 1인치 센서의 고성능 카메라 탑재 스마트폰 'Xiaomi 13 Ultra'는 스마트폰 카메라의 상식을 바꿀까 (0) | 2023.05.01 |
| 중국의 대형 EV 메이커인 BYD는 '자동운전기술은 기본적으로 불가능'이라고 예상 (0) | 2023.04.28 |
| 적외선 카메라와 AI로 패스워드를 알아낼 수 있다 (0) | 2023.04.27 |
