Төсөөл дөө…
Чи кофе шопт найзтайгаа сууж байна. Утас чинь 2%-тай.
Wi-Fi байгаа, TikTok үзээд суух гэхээр – battery low
Тэгтэл яг хажууд USB порт байна! Nice! Жоохон цэнэглээд авъя гэж бодно.
Гэхдээ энэ удаад… USB чиний утсыг биш, чи түүнийг цэнэглэнэ.
JUICE JACKING ГЭЖ ЮУ ВЭ?
Энэ бол хакеруудын ашигладаг нэг муухай арга. Нийтийн USB цэнэглэгч станц эсвэл кабелиар дамжуулан хэрэглэгчийн мэдээлэл хулгайлах буюу хортой програм суулгадаг кибер халдлагын нэг хэлбэр юм. Энэ нэрийг 2011 онд аюулгүй байдлын сэтгүүлч Брайан Крэбс DEF CON 19 бага нийтлэлд анх хэрэглэсэн бөгөөд 2023 оны 5-р сард АНУ-ын Холбооны Мөрдөх Товчоо (FBI) нийтийн USB порт ашиглахаас зайлсхийхийг иргэдэд анхааруулсан.
Энгийнээр хэлбэл:
Чи цэнэг авч байна гэж бодож байгаа,
Гэтэл тэд чамаас дата авч байна.
Харандааны Жишээ
USB кабелийг “харандаа” гэж төсөөлөөрэй. Харандаагаар зөвхөн бичих боломжтой бол гайгүй. Гэхдээ хэн нэгэн тэр харандааны дотор нарийн камер нуучихвал — бичиж байгаа бүхнийг нь тэр харна. USB ч мөн адил: кабель нь цэнэглэхийн зэрэгцээ мэдээллийг “уншиж” чаддаг.
ЯАЖ АЖИЛЛАДАГ ЮМ?
USB залгуур нь 5 зүү агуулдаг: цахилгаан дамжуулах (VBUS), газардуулга (GND), мэдээллийн хоёр шугам (D+, D–), мөн OTG зүү (ID). Зөвхөн цэнэглэхэд цахилгааны зүүг л ашигладаг — гэвч халдагч нь мэдээллийн зүүг идэвхжүүлэн таны төхөөрөмжтэй нууцаар холбогдоно.
Халдагч нийтийн цэнэглэгч станцыг физикээр орлуулах буюу дотор нь жижиг микроконтроллер (жишээ нь Raspberry Pi Zero) суулгана. Эсвэл USB кабелийн дотор нуугдсан чип бүхий хортой кабель үйлдвэрлэж нийтийн газарт орхино — BadUSB халдлагын хэлбэр. Таны төхөөрөмж залгагдах мөчид дараах явагдана:
Мэдээлэл дамжуулах
ADB (Android Debug Bridge) эсвэл iOS lockdown үйлчилгээгээр дамжуулан халдагчийн хэрэглүүр таны утастай “ярилцаж” эхлэнэ.
Мэдээлэл хуулах
Харилцагчийн жагсаалт, зураг, нэвтрэх нэр, нууц үг, IMEI дугаар, имэйл – бүгдийг хуулна. USB 2.0-ийн 480 Мбит/с хурдаар 32 ГБ мэдээллийг 10 минутад дамжуулдаг.
Хортой програм суулгах (дэвшилтэт)
Black Hat 2013-д Georgia Tech судлаачид iOS-ийн төхөөрөмжид 60 секундын дотор Facebook апп шиг харагддаг Trojan-ийг jailbreak шаардалгүйгээр суулгасан.
Бодит Дэлхийн Жишээнүүд
2011 оноос хойш DEF CON-ийн Wall of Sheep тасагт жил бүр туршилтын цэнэглэгч стенд байрлуулдаг – залгасан хэрэглэгчдэд “таны утасны мэдээллийг уншиж болно” гэсэн анхааруулга гарна. 2012 онд судлаач Кайл Осборн P2P-ADB хэрэглүүр нийтэлснээр Android утасны Google акаунтын токенийг хулгайлах боломжтойг нотолсон.
2025 онд нийтлэгдсэн ChoiceJacking судалгаа нь орчин үеийн Android болон iOS төхөөрөмжийг дэлгэц унтарсан байсан ч мэдээлэлд хандах зөвшөөрөл олгохоор хуурах боломжтойг харуулсан. BadUSB халдлагын хувьд USB контроллерийн firmware-г гар ажиллагаатай клавиатур буюу сүлжээний адаптер хэлбэрээр дахин програмчилж болдог.
Ингэж бод:
Олон нийтийн USB гэдэг чинь “үнэгүй чихэр” шиг – гаднаасаа гоё, дотор нь хор.
ЖИЖИГХЭН ХАРИУЦЛАГАГҮЙ ҮЙЛДЭЛ = ТОМ ХОХИРОЛ
ХАМГААЛАХ 7 УХААЛАГ АРГА
- Өөрийн adapter ашигла.
220V хананд залгах бол хамгийн найдвартай.
USB портод шууд утсаа бүү залга. - Power bank авч яв.
- Data blocker хэрэглэ.
“USB condom” гэдэг төхөөрөмж байдаг. Энэ нь өгөгдлийн шугамыг таслаад, зөвхөн цэнэг дамжуулдаг. - Танихгүй кабельд бүү итгэ.
“Кабель зээлдүүлээч” болгон найз биш - “Trust this computer?” гарвал → ҮГҮЙ!
Хакерууд яг тэндээс л дотогш ордог. - Утсаа update хийж бай.
Шинэчлэлт бүр хамгаалалтыг сайжруулдаг. - 2FA идэвхжүүл.
Нууц үгээ алдсан ч, хоёр дахь шатны баталгаажуулалт чамайг аварна.
ХЭРВЭЭ ХАЛДЛАГАД ӨРТСӨН БОЛ:
- Утсаа салга
- Wi-Fi, датагаа унтраа
- Танихгүй апп, зураг, дуу гарч ирвэл устга
- Ээж, аавдаа эсвэл IT мэддэг хүнд хэл
- Хэрвээ хакерууд “камераар чинь харж байна” гэж үзвэл— камерын урд стикер наа
Хамгийн чухал санаа:
“Цэнэг авъя гэж байгаад, мэдээллээ өгч болохгүй.”
“Free USB” гэдэг чинь заримдаа “Free your data” гэсэн утгатай байдаг.