Domanda:
Secure USB cable for charging in untrusted environments
DarcyThomas
2016-05-25 09:12:34 UTC
view on stackexchange narkive permalink

Su un volo a lungo raggio, immagino che caricare un telefono (in modalità aereo) con la porta USB integrata sul poggiatesta sia un rischio per la sicurezza.

Potrei mitigare questo rischio prendendo un cavo USB normale e tagliare i cavi dati (ma non l'alimentazione)? O il protocollo USB richiede un handshake dei dati per iniziare a caricarsi? O esiste un'altra soluzione migliore?

Posso già acquistare cavi USB di sola alimentazione che non hanno connessione dati.Sono già sul mercato.
Preparati, DRM (ovvero protezione contro caricabatterie dannosi) sta arrivando: http://www.androidauthority.com/usb-type-c-authentication-spec-wants-address-hazardous-cables-686304/
@Noir DRM non è mai la risposta corretta: /
Perché si tratta di un problema con il cavo?Il mio telefono si connette in "modalità di sola ricarica" per impostazione predefinita e avvierà i trasferimenti di dati solo se gli dico manualmente di aprirsi a ciò a cui è connesso.
@MasonWheeler Questo presuppone che stia dicendo la verità o che il cattivo non abbia trovato un difetto zero day che lo aggiri.
@MasonWheeler Immagino che potrebbe essere possibile eseguire l'impronta digitale di un dispositivo anche in modalità di ricarica.Un po 'paranoico forse, ma pur sempre un (piccolo) rischio per la sicurezza.
Domanda correlata: [Come disabilitare la condivisione di file MTP e PTP tramite USB su Android 5?] (Https://android.stackexchange.com/q/136435/5934)
@Noir quanto vuoi scommettere che verrà crackato nel giro di pochi giorni dopo il suo rilascio?
@Noir et al, vedere la discussione che inizia su http://www.metzdowd.com/pipermail/cryptography/2016-April/029106.html
Sarei curioso di sapere perché tutti dicono che questo è un rischio per la sicurezza.Molte porte USB sui poggiatesta forniscono solo alimentazione, nessun dato.L'unica volta che questo potrebbe essere un problema è quando hai un centro di intrattenimento che può riprodurre da USB, ma anche in questo caso, non sarebbe limitato al tuo centro di intrattenimento?
Alcune apparecchiature vengono fornite con tale cavo fuori dalla scatola.Ad esempio, ho un auricolare Logitech G930, fornito con un cavo di ricarica senza connettività dati.
I pin dati sono necessari per caricare un iPhone http://electronics.stackexchange.com/questions/123172/what-is-the-ideal-way-to-handle-data-pins-d-and-d-on-a-usb-power-adapter-to-be
@DavidCorbin: no non sono tenuti a caricare, sono tenuti a negoziare una velocità di carica (amperaggio) superiore ai parametri di corrente USB ufficiali (noti-sicuri);invece di 500ma per usb2, può richiedere fino a 1500.
Possiedo un vecchio dispositivo Blackberry 8700 che non può essere caricato con cavi di sola ricarica, adattatori da CA a USB o anche una porta USB sempre attiva, solo se collegato a un computer in funzione.
Di solito porto due telefoni.Il mio telefono personale, di lavoro e tutto il resto, e un altro con uno schermo più grande e molto spazio per leggere e giocare.Quello più grande non ha nemmeno una linea cel - condivido solo il Wifi quando ho bisogno di internet su di esso.Tengo anche il telefono più grande senza dati sensibili, quindi se mi capita di essere aggredito per strada mi arrendo semplicemente tenendo il telefono sensibile nascosto al sicuro nelle tasche nascoste della mia giacca.Sì, sono _THAT_ paranoico.
Nove risposte:
Alexander O'Mara
2016-05-25 09:20:30 UTC
view on stackexchange narkive permalink

Posso mitigare questo rischio prendendo un normale cavo USB e tagliando i cavi dati (ma non quelli di alimentazione)? Oppure il protocollo USB necessita di un handshake dei dati per iniziare a caricarsi?

Questo cavo esiste, quindi non deve essere richiesto un handshake dei dati.

Tali cavi vengono discussi su alcuni siti Stack Exchange:

Quindi sì, l'utilizzo di un cavo simile o realizzarne uno utilizzando un approccio fai da te potrebbe mitigare un rischio che dipende dal 2 pin dati. Naturalmente, sarebbe comunque possibile un diverso tipo di attacco in cui viene inviata una potenza inaspettata, possibilmente con l'intento di danneggiare il dispositivo.

Nel mio scenario (su un aereo commerciale) avresti bisogno di un attaccante piuttosto malizioso, che se non può hackerarti ricorre a rompere i tuoi giocattoli.È improbabile che stiano cercando di mantenere un profilo basso.
Di solito è sufficiente cortocircuitare i due pin dati sul lato del cavo del telefono per consentirne la ricarica.
@called2voyage: Questo non è abbastanza, i fusibili reagiscono molto lentamente e se ci si infila 1 kV, nessun fusibile ti proteggerà.Hai bisogno di alcuni attrezzi più pesanti come MOV e tutta la protezione standard da sovratensione (e sotto)
@called2voyage: Non funzionerà affatto.Il tempo in cui una miccia reagisce a tutto è già distrutto.Anche con 10 V probabilmente il fusibile non fa altro che il chipset è fritto.
@PlasmaHH ha ragione (e probabilmente ne sa più di me su queste cose): presumibilmente potresti fare qualcosa con un diodo Zener per deviare l'alta corrente causata dalla sovratensione, combinata con un fusibile.Ma un transorb probabilmente sarebbe meglio.Questo è stato discusso in [Come decidere tra un diodo TVS o Zener per la protezione da sovratensione?] (Http://electronics.stackexchange.com/questions/50563/how-to-decide-between-a-tvs-or-zener-diodo-per-protezione-sovratensione) su electroni.cs.se
Sjoerd
2016-05-25 12:23:27 UTC
view on stackexchange narkive permalink

I dispositivi USB possono negoziare la corrente fornita dal dispositivo host. Se la negoziazione dell'alimentazione non è possibile (perché hai tagliato i cavi dati), viene fornito un massimo di 100 mA. Ciò significa che puoi caricare i dispositivi, ma potrebbe essere più lento del solito.

Dispositivi come LockedUSB eseguono la negoziazione dell'alimentazione su entrambi i lati, senza consentire il passaggio dei dati tra i dispositivi. Questo carica i tuoi dispositivi più velocemente, ma probabilmente potrebbe essere meno sicuro dei cavi tagliati.

Perché dovrebbe essere meno sicuro?Finché non ci sono cavi dati nel cavo, in che modo il circuito negoziale introdurrebbe rischi per la sicurezza?Tanto più che è logica non riprogrammabile?
@spectras È meno sicuro nel senso che devi fidarti dei creatori del cavo per a) essere onesti eb) aver svolto bene il loro lavoro.
In pratica, molti caricatori stupidi non fanno la negoziazione e ti lasceranno felicemente tirare 2A senza linee dati.
Il cortocircuito dei pin dati dovrebbe indurre il telefono a credere che sia collegato a un caricabatterie da 2 amp ed è abbastanza efficace.Se un dispositivo host davvero non è in grado di fornire 2A, la sua protezione da sovracorrente lo spegnerà semplicemente evitando danni.Quindi è una soluzione davvero buona, semplice ed economica rispetto alla creazione di un "firewall" che consente il passaggio della negoziazione del potere negando tutto il resto.
Si noti che la maggior parte degli host ignora le specifiche e fornisce almeno 500 mA quando non viene eseguita alcuna negoziazione.D'altra parte, alcuni degli standard di ricarica ad alta potenza richiedono una resistenza specifica tra i cavi dati per indicare la capacità di alimentazione dell'alimentazione.Quindi cortocircuitare le linee in modo errato può causare danni.Meglio lasciare i perni fluttuanti.
@PepijnSchmitz> nel dispositivo che ha collegato, non c'è alcun cavo dati.Sembra dubbio che possano collegarne uno accidentalmente.E per la parte di fiducia, questo vale comunque con qualsiasi cavo USB, un controller USB con un micro chip si inserisce facilmente all'interno della spina stessa.
@billc.cn il cortocircuito delle linee è perfettamente accettabile in base alle specifiche ed è in realtà il modo in cui i caricabatterie dicono ai telefoni quanta corrente possono fornire.
LockedUSB supporta anche i "protocolli del caricatore" (varie tensioni sui pin dei dati, a seconda del produttore, per mostrare che il dispositivo è un caricabatterie che supporta più di 500mA - o il protocollo standard di cortocircuitare i pin dei dati per mostrare che supporta 1A)?
@Random832 In realtà supporta molti diversi "protocolli di ricarica" come dici tu.Se desideri dettagli disordinati, cerca "Profili tecnici supportati" su https://lockedusb.com/ per tutte le diverse opzioni che rileverà e supporterà.
BlueCacti
2016-05-25 14:24:35 UTC
view on stackexchange narkive permalink

Anche se non del tutto in linea con la domanda dell'OP, volevo condividere una soluzione diversa.

Potresti portare con te un powerbank. I piccoli powerbank in grado di caricare il tuo telefono almeno 1 volta non occupano troppo spazio. Puoi caricare il powerbank al terminal dell'aeroporto, nel tuo hotel o anche in volo (poiché non c'è il rischio che i dati dannosi influenzino il powerbank). Quando hai bisogno di caricare il tuo telefono, puoi usare il tuo powerbank appena ricaricato per riempirlo.

Un altro vantaggio di questa soluzione è che hai un powerbank con te durante il tuo viaggio, se dovessi aver bisogno di ricaricare il telefono in un'area in cui non è disponibile una presa di corrente o quando non si ha con sé il cavo di ricarica. Puoi persino utilizzare il powerbank in altre aree in cui non ti fidi di una presa USB.

Ovviamente, se sei davvero paranoico, non caricheresti il tuo powerbank da una porta USB non affidabile, poiché un powerbank compromesso potrebbe potenzialmente compromettere qualsiasi dispositivo collegato ad esso.
@MJeffryes Se sei veramente paranoico, non usi un telefono cellulare.
@gerrit - Se sei diventato così paranoico, rintanarsi in un'ambasciata o nasconderti in Russia potrebbe essere la tua unica speranza ...
@MJeffryes puoi acquistare powerbank senza capacità di eseguire codice: sono quelli economici.
Basta essere consapevoli del fatto che le compagnie aeree e la sicurezza aeroportuale stanno diventando pignole riguardo alle power bank.L'ultima volta che ho volato non erano ammessi nel bagaglio da stiva, ma ok nel bagaglio a mano (in numero limitato).Quelli mal progettati sono un potenziale pericolo di incendio.
Bonus: un numero enorme di questi (forse anche la maggior parte di loro oggigiorno) raddoppia come una torcia
Penso che i powerbank non abbiano firmware, sono dispositivi stupidi.Nessun rischio di comprometterli.Usali come bridge tra la porta USB a muro e il telefono (spesso hanno due porte USB).
@OlafM Oggigiorno esistono powerbank che fungono anche da memoria esterna (tramite USB o WiFi), adattatore di rete, hub USB e così via.Quei dispositivi hanno un firmware su di loro e potrebbero essere usati in modo dannoso.Inoltre, non sai mai se il powerbank economico che hai acquistato da un negozio online cinese non contiene un microcomputer
CONvid19
2016-05-26 17:52:27 UTC
view on stackexchange narkive permalink

I moderni dispositivi intelligenti sono macchine affamate di energia che richiedono frequenti ricariche. Questo problema viene solitamente risolto portando con sé caricabatterie portatili costosi e ingombranti. Come soluzione al problema dell'alimentazione, molte strutture pubbliche o eventi stanno iniziando a fornire cabine con porte USB per la ricarica gratuita. Tuttavia, caricare dispositivi intelligenti su porte USB sconosciute / pubbliche renderà il tuo dispositivo vulnerabile al "jacking del succo", che consente agli utenti non autorizzati di accedere ai dati sul tuo telefono. Inoltre, i dispositivi intelligenti possono essere infettati da malware attraverso queste porte USB non identificate.

La soluzione Un cavo USB "sterilizzato" che consente il passaggio della corrente di carica ma disabilita fisicamente ogni forma di trasmissione dei dati. Ciò essenzialmente blocca tutte le forme di comunicazione tra il dispositivo intelligente e la fonte di alimentazione, indipendentemente dal fatto che si tratti di un computer o di un adattatore collegato a una presa a muro. Ciò può essere ottenuto scollegando fisicamente i cavi di trasmissione dati tra il dispositivo e la fonte di alimentazione. Fare questo su un cavo USB standard richiede alcune conoscenze tecniche e rende un cavo antiestetico. È qui che entra in gioco un preservativo USB. Metterne uno all'estremità di un cavo USB standard bloccherà le linee di trasmissione dati tra il dispositivo e la fonte di alimentazione.

Com'è fatto? Salda il primo e il quarto pin dell'unità maschio all'unità femmina e avrai un preservativo USB che funziona con la maggior parte dei dispositivi. // Affinché il dispositivo funzioni con gli iPhone, dovrai includere un circuito stampato aggiuntivo per simulare una carica di tensione.

Nota: il design attuale mostrato sopra funziona per tutti i dispositivi, anche gli iPhone!

http://m.instructables.com/id/Making-a-USB-Condom/?download=pdf

Credito del produttore: Tan Guo Wei, Creative Technologist presso Metalworks di Maxus

http://m.instructables.com/id/Making-a-USB-Condom/

Penso che l'unica parte di ciò che non era nell'OP sia "è necessario un circuito stampato aggiuntivo".
Unsigned
2016-05-27 23:42:57 UTC
view on stackexchange narkive permalink

Un'idea leggermente diversa, ma puoi utilizzare un caricabatterie da muro a USB affidabile. Questo è l'approccio che adotto quando effettuo la ricarica da una struttura pubblica / condivisa.

La maggior parte (se non tutti) i voli su cui sono stato alimentato, offrono sia una presa compatibile a muro che USB.

Knut Gjerden
2016-05-25 23:52:16 UTC
view on stackexchange narkive permalink

Sì, c'è una buona soluzione. Il Portpilot è un analizzatore di potenza USB che ti dà il controllo sul blocco dei dati e sulle modalità di controllo, http://portpilot.net/. Un saluto a Hak5, è disponibile su http://hakshop.myshopify.com/products/portpilot. Non affiliato in alcun modo, ma è nella mia lista dei desideri.

Ok, ho letto di nuovo la domanda. Se vuoi sezionare il cavo e tagliarne alcune parti immagino che funzionerebbe. Se vuoi una soluzione che funzioni con qualsiasi cavo USB e qualsiasi dispositivo, voterei per Portpilot.

Coxy
2016-05-27 09:16:57 UTC
view on stackexchange narkive permalink

La maggior parte (tutti?) dei telefoni non avrà alcuna connessione "dati" senza essere stati specificamente autorizzati da un'azione affermativa da parte dell'utente, ad es. sbloccare il telefono e accettare una finestra di dialogo.

Quindi non è necessario l'uso di un cavo di ricarica USB speciale (costoso) "sicuro".

Non ho downvote, ma non sono d'accordo.Forse questa è la tendenza sui dispositivi più nuovi e più costosi, ma nessun telefono che abbia mai posseduto aveva questa funzione.Se il telefono di un utente dispone di questa funzione e spesso collega il telefono al laptop per trasferire i dati, potrebbe disattivare questa funzione per evitare il fastidio di rispondere "consenti" tutto il tempo e quindi dimenticare prontamente che il telefono aveva quella funzione.Inoltre, alcuni telefoni che potrebbero avere questa funzione potrebbero avere un'impostazione per controllarla che è disattivata per impostazione predefinita e l'utente potrebbe non sapere che la funzione è disponibile.
È un problema per dispositivo e per quanto ne so non puoi disattivarlo, ma suppongo che su Android ci sarebbe senza dubbio un modo per disabilitarlo.
@Coxy Il telefono può ancora ricevere le impronte digitali con USB.No bueno.
Questa funzione è standard nella ROM di serie su Android.
Toby Speight
2016-05-30 13:42:09 UTC
view on stackexchange narkive permalink

TL; DR : sì, ma collega un piccolo resistore tra le linee dati all'estremità host.

I protocolli USB supportano l'erogazione di energia senza linee dati. Secondo l ' articolo di Wikipedia,

il dispositivo di ricarica identifica il tipo di porta attraverso la segnalazione non di dati su D + e D− segnala immediatamente dopo il collegamento. Una [porta di ricarica dedicata] deve semplicemente posizionare una resistenza non superiore a 200 Ω tra i segnali D + e D− .

Senza la connessione tra i pin dati, la porta di ricarica fornirebbe solo 100 mA (un carico di unità singola a bassa velocità - l'alimentazione iniziale non negoziata), ma con questa modifica (all'estremità dell'alimentatore), dovresti ottenere almeno 1,5 A e (a discrezione della porta) fino a 5A senza ulteriori azioni.

Per ulteriori informazioni, ti consigliamo di consultare la Specifica di ricarica della batteria USB (spiacenti, questo è un archivio Zip contenente PDF). Esistono modalità a corrente più elevata che possono essere abilitate dalla segnalazione FSK sulle linee elettriche stesse ( USB Power Delivery), ma puoi tranquillamente ignorarle.

Nota che in questa risposta, sto solo affrontando i rischi relativi ai dati , che potrebbero sovvertire il tuo dispositivo a tua insaputa. Sei ancora soggetto ai soliti rischi di Denial of Service come sovratensione e tensione inversa, ma ovviamente saprai almeno se il tuo dispositivo viene distrutto dalla presa. Suppongo che tu abbia backup decenti del tuo dispositivo (inclusi eventuali supporti rimovibili che sei stato così sciocco da lasciare inserito) e che non sei qualcuno che potrebbe essere specificamente preso di mira, se una porta di ricarica sta distruggendo indiscriminatamente i dispositivi degli utenti , verrà notato!

zakius
2016-05-25 15:57:17 UTC
view on stackexchange narkive permalink

Ho visto un telefono Nokia che si ricarica tramite USB solo se collegato al PC, ma nella maggior parte dei casi funziona solo con cavi dati tagliati
Ma ci sono altri rischi: una fonte di alimentazione instabile potrebbe danneggiare il tuo dispositivo , anche se non è inteso come dannoso.
Per essere sicuro al 100%, consiglierei di utilizzare la soluzione powerbank, avendo effettivamente un buffer di sicurezza tra il dispositivo costoso e la fonte di alimentazione (e forse di dati) non affidabile

Sicuramente un alimentatore instabile sarebbe un rischio (denaro, non sicurezza) anche se utilizzato con i cavi dati intatti.Cioè, cosa userebbe normalmente un Babbano.(E non sono consapevole che sia un grosso problema).Un power brick potrebbe anche avere problemi di stabilità (anche se probabilmente meno)
@DarcyThomas beh sì, ma potresti sempre testare il tuo powerbank in anticipo, e inoltre ti protegge da fonti di alimentazione intenzionalmente dannose, o almeno dall'hardware più prezioso, poiché il powerbank potrebbe friggere o addirittura esplodere (ma è meglio dell'esplosione del tuo telefono di puntaPenso) se collegato a qualcosa progettato per danneggiare le cose
Mentre la perdita personale dall'esplosione del powerbank potrebbe essere inferiore a quella del telefono, è probabile che l'esplosione stessa sia molto peggiore poiché le sue dimensioni saranno generalmente proporzionali alla capacità delle celle di alimentazione e la maggior parte dei powerbank ha una capacità maggiore della maggior partebatterie per smartphone.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...