Apple 似乎准备让它的设备更难使用廉价的 USB-C 电缆,虽然它可能会从所谓的计划中多赚几美元,但也有充分的理由将系统安装到位。
苹果必须赚一两美元
据称,苹果计划在 iPhone 15 中用 USB-C 替换 Lightning 端口和电缆,届时它将为此类产品引入 Made For iPhone (MFi) 方案。 这个想法是,消费者将能够完全放心地购买与 iPhone 兼容的数据线和其他设备。
根据一些报道,缺点是未获得 MFi 计划许可的 USB-C 设备可能最终会受到惩罚——它们可能根本无法工作,可能仅支持有限的充电速度,并且可能无法共享数据 .
[通过 Computerworld 的时事通讯了解最新的 IT 思想领导力、见解、操作方法和分析。 ]
Apple 批评者会攻击该公司的贪婪,因为 MFi 计划成员必须为获得许可身份的特权付费。 这将意味着 iPhone 用户将无法使用任何 USB-C 数据线,而且他们能使用的数据线可能会花费更多。
您的数据有多有价值?
但我认为推动这一决定的不仅仅是贪婪。 需要保护您的 iPhone 及其包含的所有内容。 它还发生了几次攻击,其中关键行业已成为目标并使用 USB-C 感染系统。 鉴于 Apple 致力于确保供应链安全,这是一个需要解决的问题,尤其是在该公司担任 Cyber Readiness Institute 联合主席的情况下。
此举也可能反映出跨行业的准备工作,以使公司符合欧盟网络弹性法案,该法案将要求制造商采取措施在销售前确保各种电子产品的安全。
USB-C 的一大局限性是电缆本身可能会遭到破坏并被用来从设备中窃取数据,并且任何实际拥有您设备的人都可以进行此类攻击。
恶意电缆可能包含 GPS 跟踪器,或拨打电话,或窃取连接设备的用户名、密码和数据,同时将设备变成更广泛的企业网络的入口路径。
USB 可用于破坏设备的方式有数十种。
当安全成为弱点
想想这种性质的攻击在多大程度上出自国家安全机构的工作是很有趣的。
在美国,国家安全局 (NSA) 于 2008 年创建了第一条恶意 USB 数据线。代号为 Cottonmouth 的数据线每批售价超过 1,000 美元,每批 50 条。如今,您可以在线购买,价格仅为该价格的一小部分 .
当然,虽然标准本身已经发展,但今天故事的这一部分的寓意是令人讨厌的安全威胁往往会激增。 数字技术的历史上充斥着各种例证,这些例证表明,今天仅供政府使用的后门将成为明天任何在卧室里工作的青少年黑客最喜欢的攻击途径。
最近,2022 年初针对关键基础设施提供商的 BadUSB 攻击卷土重来——目标被诱骗将载有恶意软件的 USB 驱动器连接到他们的机器——显示了一些人渗透企业端点所需的时间。
其他攻击利用公共 USB-C 接入点; 想一想,如果黑客在机场中途停留期间控制了您将 iPhone 连接到的 USB-C 插槽,会发生什么——损坏甚至可能在您着陆之前就已经完成。
USB-C 和身份验证
计算机容易受到此类攻击的原因之一是 USB-C 没有强制性身份验证系统。 USB 实施者论坛(Apple 所在的论坛)确实为 USB-C 充电器、电缆、设备和电源提供了一个自愿认证协议,该协议将检测不熟悉的电缆并验证设备是否经过认证。 但不是每个人都用这个。
我们知道,越来越注重安全的 Apple 已经意识到 USB-C 的风险。 我们还知道它了解 USB-C 认证标准。 尽管如此,当引入该系统时,新闻稿解释说:
“USB Type-C 身份验证使主机系统能够防范不合规的 USB 充电器,并降低试图利用 USB 连接的 USB 设备中的恶意固件/硬件带来的风险。”
当时,一些安全研究人员警告说,这种安全技术最终可能会被制造商用来要求客户仅使用“经批准”的 USB-C 设备。
这似乎是苹果计划要做的。
然而,在国家安全的背景下,并且知道 USB 数据线正被积极利用来参与针对国家基础设施的攻击,确保您或您的员工连接到您的 iPhone 的 USB-C 设备不会被攻击是有意义的。 窃取您的数字存在,即使它们要多花几美元。
