Возможно, компания Apple собирается усложнить использование дешевых кабелей USB-C со своими устройствами, но есть очень веские причины, по которым она должна это сделать.
Apple, похоже, готова усложнить использование дешевых кабелей USB-C в своих устройствах, и, хотя она вполне может заработать на несколько долларов больше от предполагаемого плана, есть также веские причины для внедрения системы.
Apple должна заработать доллар или два
Утверждается, что Apple планирует заменить порты и кабели Lightning на USB-C в iPhone 15, и когда это произойдет, она представит схему Made For iPhone (MFi) для таких продуктов. Идея заключается в том, что потребители смогут приобретать кабели и другие устройства в полной уверенности, что они будут совместимы с их iPhone.
Согласно некоторым сообщениям, недостатком является то, что устройства USB-C, которые не лицензированы по схеме MFi, могут быть оштрафованы — они могут вообще не работать, поддерживать ограниченную скорость зарядки и не могут обмениваться данными.
Критики Apple будут обвинять компанию в жадности, поскольку участники схемы MFi должны платить за привилегию лицензионного статуса. Это будет означать, что пользователи iPhone не смогут использовать только любой кабель USB-C, а те, которые они используют, могут стоить дороже.
Насколько ценны ваши данные?
Но я не думаю, что это просто жадность, управляющая этим решением. Это необходимость защитить ваш iPhone и все, что он содержит. Это также следует за несколькими атаками, в которых были нацелены ключевые отрасли и системы, зараженные с помощью USB-C. Учитывая приверженность Apple обеспечению безопасности цепочки поставок, эту проблему необходимо решить, особенно учитывая, что компания является сопредседателем Института кибернетической готовности.
Этот шаг может также отражать межотраслевую подготовку к приведению компании в соответствие с Законом ЕС о киберустойчивости, который потребует от производителей принятия мер по обеспечению безопасности всех видов электронных продуктов перед их продажей.
Одним из больших ограничений USB-C является то, что сами кабели могут быть скомпрометированы и использованы для кражи данных с устройств, и такие атаки могут быть осуществлены любым лицом, физически владеющим вашим устройством.
Вредоносные кабели могут содержать GPS-трекеры, совершать звонки или красть имена пользователей, пароли и данные с подключенных устройств, превращая устройство в маршрут входа в более широкую корпоративную сеть.
Существуют буквально десятки способов использования USB для компрометации устройств.
Когда безопасность становится слабостью
Забавно подумать о том, в какой степени атаки такого рода стали результатом работы агентств национальной безопасности.
В США Агентство национальной безопасности (АНБ) создало свой первый вредоносный USB-кабель в 2008 году. Кабели под кодовым названием Cottonmouth были проданы более чем за 1000 долларов США каждый партиями по 50 штук. Сегодня вы можете приобрести их за небольшую часть этой стоимости онлайн.
Конечно, хотя сам стандарт эволюционировал, мораль этой части сегодняшней истории заключается в том, что неприятные угрозы безопасности имеют тенденцию к распространению. История цифровых технологий изобилует иллюстрациями, которые показывают, что сегодняшний правительственный бэкдор становится завтра излюбленным способом атаки для любого хакера-подростка, работающего из своей спальни.
Совсем недавно возобновление атак BadUSB против ключевых поставщиков инфраструктуры в начале 2022 года - цели были обмануты, чтобы подключить USB—накопители с вредоносным ПО к своим машинам - показывает, как далеко некоторые заходят, чтобы проникнуть в корпоративные конечные точки.
Другие атаки используют общедоступные точки доступа USB-C; подумайте, что могло бы произойти, если бы хакеры контролировали слот USB—C, к которому вы подключаете свой iPhone во время остановки в аэропорту - ущерб может быть нанесен еще до того, как вы приземлитесь.
USB-C и аутентификация
Одна из причин, по которой компьютеры уязвимы для таких атак, заключается в том, что USB-C не имеет обязательной системы аутентификации. Форум разработчиков USB (на котором находится Apple) предлагает протокол добровольной аутентификации для зарядных устройств, кабелей, устройств и источников питания USB-C, который позволяет обнаруживать незнакомые кабели и проверять, сертифицировано ли устройство. Но не все этим пользуются.
Мы знаем, что Apple, все больше ориентирующаяся на безопасность, осознает риски, связанные с USB-C. Мы также знаем, что ей известен стандарт аутентификации USB-C. Тем не менее, кажется интересным, что, когда эта система была введена, в пресс-релизе объяснялось:
“Аутентификация USB Type-C позволяет хост-системам защищать от несовместимых USB-зарядных устройств и снижать риски, связанные с вредоносными прошивками / аппаратными средствами в USB-устройствах, пытающихся использовать USB-соединение”.
В то время некоторые исследователи безопасности предупреждали, что эта технология безопасности может в конечном итоге использоваться производителями, чтобы требовать от клиентов использовать только "одобренное" оборудование USB-C.
Похоже, это то, что Apple планирует сделать.
Однако в контексте национальной безопасности и с учетом того, что USB-кабели активно используются для атак на национальную инфраструктуру, имеет смысл убедиться, что устройства USB-C, которые вы или ваши сотрудники подключаете к своим iPhone, не украдут ваше цифровое существование, даже если они стоят несколькодолларов больше.
