Apple, возможно, собирается затруднить использование более дешевых кабелей USB-C со своими устройствами, но для этого есть очень веские причины.
Apple, похоже, готова затруднить использование дешевых кабелей USB-C со своими устройствами, и хотя она вполне может заработать на несколько долларов больше от предполагаемого плана, есть также веские причины для установки системы.
Apple должна заработать доллар или два
Утверждается, что Apple планирует заменить порты и кабели Lightning на USB-C в iPhone 15, и когда это произойдет, она представит схему «Сделано для iPhone» (MFi) для таких продуктов. Идея состоит в том, что потребители смогут покупать кабели и другие устройства с полной уверенностью в том, что они будут совместимы с их iPhone.
Согласно некоторым сообщениям, недостатком является то, что устройства USB-C, не лицензированные по схеме MFi, могут быть оштрафованы — они могут вообще не работать, поддерживать только ограниченную скорость зарядки и не иметь возможности обмениваться данными...
Критики Apple будут атаковать компанию за жадность, поскольку участники схемы MFi должны платить за привилегию лицензированного статуса. Это будет означать, что пользователи iPhone не смогут использовать любой кабель USB-C, а те, которые они используют, могут стоить дороже.
Насколько ценны ваши данные?
Но я не думаю, что это решение было вызвано жадностью. Это необходимость защитить ваш iPhone и все, что на нем находится. Это также следует за несколькими атаками, в ходе которых были затронуты ключевые отрасли и системы были заражены с помощью USB-C. Учитывая приверженность Apple обеспечению безопасности цепочки поставок, эту проблему необходимо решить, особенно в связи с тем, что компания является сопредседателем Института киберготовности.
Этот шаг может также отражать межотраслевую подготовку, чтобы привести компанию в соответствие с Законом ЕС о киберустойчивости, который потребует от производителей предпринять шаги для защиты всех видов электронных продуктов до их продажи.
Одним из больших ограничений USB-C является то, что сами кабели могут быть скомпрометированы и использованы для кражи данных с устройств, и такие атаки могут быть выполнены любым, кто физически владеет вашим устройством.
Вредоносные кабели могут содержать GPS-трекеры, совершать звонки или красть имена пользователей, пароли и данные с подключенных устройств, превращая устройство в маршрут входа в более широкую корпоративную сеть.
Существуют буквально десятки способов использования USB для компрометации устройств.
Когда безопасность становится слабостью
Забавно учитывать, в какой степени атаки такого рода стали результатом работы органов национальной безопасности.
В США Агентство национальной безопасности (АНБ) создало свой первый вредоносный USB-кабель в 2008 году. Кабели под кодовым названием Cottonmouth были проданы партиями по 50 штук по цене более 1000 долларов США каждый. Сегодня вы можете купить их за небольшую часть этой стоимости в Интернете...
Конечно, в то время как сам стандарт эволюционировал, мораль этой части сегодняшней истории заключается в том, что неприятные угрозы безопасности имеют тенденцию к распространению. История цифровых технологий изобилует примерами, показывающими, что сегодняшние правительственные лазейки завтра становятся излюбленным маршрутом атак для любого подростка-хакера, работающего из своей спальни.
Совсем недавно, в начале 2022 года, возобновление атак BadUSB против ключевых поставщиков инфраструктуры — цели обманом заставляли подключать USB-накопители с вредоносным ПО к своим машинам — показывает, сколько времени требуется некоторым для проникновения в конечные точки предприятия.
Другие атаки используют общедоступные точки доступа USB-C; подумайте, что могло бы произойти, если бы хакеры получили контроль над разъемом USB-C, к которому вы подключаете свой iPhone во время остановки в аэропорту, — ущерб может быть нанесен еще до того, как вы приземлитесь.
USB-C и аутентификация
Одна из причин, по которой компьютеры уязвимы для таких атак, заключается в том, что USB-C не имеет обязательной системы аутентификации. Форум разработчиков USB (на котором присутствует Apple) предлагает добровольный протокол аутентификации для зарядных устройств, кабелей, устройств и источников питания USB-C, который будет обнаруживать незнакомые кабели и проверять, сертифицировано ли устройство. Но не все этим пользуются.
Мы знаем, что Apple, которая все больше внимания уделяет безопасности, осознает риски USB-C. Мы также знаем, что он знает о стандарте аутентификации USB-C. Тем не менее, кажется интересным, что когда эта система была введена, в пресс-релизе объяснялось:
«Аутентификация USB Type-C позволяет хост-системам защищаться от несовместимых USB-зарядных устройств и снижать риски, связанные с вредоносной прошивкой/аппаратным обеспечением в USB-устройствах, пытающихся использовать USB-соединение».
В то время некоторые исследователи безопасности предупреждали, что эта технология безопасности может в конечном итоге использоваться производителями, чтобы потребовать от клиентов использовать только «одобренное» оборудование USB-C.
Кажется, это то, что Apple планирует сделать.
Однако в контексте национальной безопасности и с учетом того, что USB-кабели активно используются для атак на национальную инфраструктуру, имеет смысл убедиться, что устройства USB-C, которые вы или ваши сотрудники подключаете к своим iPhone, не собираются украсть ваше цифровое существование, даже если они стоят на несколько долларов дороже.
