Publiczne ładowarki zagrożeniem dla naszych danych? Zachowajmy zdrowy rozsądek

Rzecznik Praw Obywatelskich zwrócił uwagę na niebezpieczeństwo związane z używaniem publicznych ładowarek. Dzięki temu problem juice jackingu w końcu zawitał do naszego polskiego podwórka. Do tej pory jednak wspomniana metoda ataku nie została zrealizowana na szerszą skalę w celu wykradnięcia danych od nieświadomych użytkowników. Czy zatem powinniśmy obawiać się ładowarek na lotnisku?

Publiczne ładowarki mogą być niebezpieczne

Port uniwersalnej magistrali szeregowej (USB) jest niezwykle przydatny. Dzięki niemu bez problemu podłączymy do laptopa czy smartfona wiele urządzeń peryferyjnych (myszki, klawiatury, głośniki, a nawet monitory). Najczęściej jednak przeciętny Kowalski wykorzystuje to złącze w celu naładowania smartfona lub przesłania plików pomiędzy nośnikami. Dlatego raczej niewielu z nas jest ostrożnych przy korzystaniu z USB. W końcu do tej pory nic złego nas nie dotknęło.

Czemu o tym mówimy? RPO zwróciło się z prośbą do samego ministra cyfryzacji o zweryfikowanie bezpieczeństwa aplikacji rządowych przed metodą ataku juice jacking. W niej natomiast korzysta się z możliwości portu USB do wymiany danych. Dlatego warto będzie śledzić potencjalne komunikaty w tej sprawie.

Juice jacking – co to jest?

Z tego względu należy wyjaśnić, że juice jacking korzysta z faktu, iż kabel USB w najprostszym wariancie posiada osobne przewody dla przesyłu i pobierania danych (zielony – dodatni i biały – ujemny), a pozostałe służą przesyłaniu napięcia. Dlatego teoretycznie jest możliwe, że cyberprzestępcy mogą wykorzystać publiczne ładowarki, które są dostępne na przykładowo lotniskach w celu dokonania ataku.

Nieświadoma ofiara podłącza smartfona do takiego źródła energii w celu uzupełnienia stanu baterii. W teorii otwiera to drogę, aby:

• na urządzeniu zostało zainstalowane złośliwe oprogramowanie.
• doszło do kradzieży danych.

Juice jacking dotyczy jednak głównie urządzeń, gdzie domyślnie zewnętrzne źródła pamięci są automatycznie montowane w celu umożliwienia przesyłu plików. W związku z tym systemy iOS i Android są względnie bezpieczne od 2013 r. Inne nośniki danych nie są akceptowane przez wymienione wcześniej bez zezwolenia ze strony użytkownika.

Czy zagrożenie realnie istnieje?

W kwestii bezpieczeństwa m.in. najnowszej wersji aplikacji mObywatel – należy pamiętać o tym, że ten program wymaga teraz minimum Androida w edycji 7.0 (premiera odbyła się w 2016 r.) lub iOS-a o co najmniej numerze 15 (jest to oprogramowanie z 2021 r.). Oczywiście część osób na pewno używa starszych telefonów, ale te od dawna mają szereg luk bezpieczeństwa i trudno na nich używa się usług sieciowych.

W przypadku nowszych urządzeń z Androidem może okazać się niebezpieczne:

• pozostawienie włączonej opcji „Debugowania USB” w ustawieniach programistycznych,
• wykonanie roota na urządzeniu,
• odblokowanie bootloadera.

O juice jackingu ostrzegało w przeszłości Federalne Biuro Śledcze z miasta Denver. Było to związane z rozwojem lokalnego lotniska. Tam jednak rzeczniczka prasowa uspokoiła, że osoby odpowiedzialne za obiekt, zostałyby zawiadomione o jakichkolwiek zmianach w infrastrukturze budynku. Co więcej, dla bezpieczeństwa użytkowników istotne jest dbanie m.in. o aktualne oprogramowanie np. swojego smartfona.

Avoid using free charging stations in airports, hotels or shopping centers. Bad actors have figured out ways to use public USB ports to introduce malware and monitoring software onto devices. Carry your own charger and USB cord and use an electrical outlet instead. pic.twitter.com/9T62SYen9T

— FBI Denver (@FBIDenver) April 6, 2023

Ciekawym doniesieniem był komunikat od specjalnej jednostki wojska amerykańskiego. Wtedy wiele portali informacyjnych przekazało wieść o potencjalnym zagrożeniu i niepotrzebnie dodało o powrocie do łask tej metody ataku. W rzeczywistości nigdy jej nie przeprowadzono w miejscu publicznym przez cyberprzestępców.

Take care to avoid "juice jacking" — plugging devices into compromised public USB charging stations can open the door to malware or theft of personal data. Learn more about juice jacking and how to avoid it, as well as other common cybersecurity topics at https://t.co/wh1I34eUtk pic.twitter.com/9UTmAnyumr

— Army Cyber Command (@ARCYBER) April 11, 2023

W przeszłości m.in. prokuratura okręgowa z Los Angeles opublikowała podobny komunikat, ale przedstawiciel tej jednostki nie był w stanie sensownie odpowiedzieć na pytania związane z juice jackingiem. Nie podano żadnego konkretnego przykładu tego teoretycznego zagrożenia, które jest teraz znane mniej więcej od ponad dekady.

Jak zabezpieczyć się przed atakiem juice jacking?

Na razie juice jacking pozostaje obiektem zainteresowania ze strony badaczy i hobbystów, którzy przeprowadzają go w celu zdobycia doświadczenia, wiedzy. Poza tym nadal pozostaje ciekawostką, która od czasu do czasu pojawia się i wywołuje niepotrzebnie nadmierną panikę. Mimo tego przezorny zawsze jest ubezpieczony, więc oczywiście warto:

• zabrać ze sobą powerbanka,
• wybrać tradycyjną stację ładowania zamiast publicznego portu USB,
• zakupić kabel USB pozbawiony funkcji wymiany plików,
• rozważyć nabycie adaptera, który zablokuje przesył danych przez kabel USB.

Prywatnie być może zakupię jakiś fizyczny bloker danych, aby wykorzystać go w trakcie podróży. Przede wszystkim zrobię to dla samego komfortu psychicznego. Mimo tego spałbym spokojnie po skorzystaniu z publicznej ładowarki, ponieważ zagrożenie określane jako juice jacking jest znikome. Na co dzień większa szansa na kradzież danych ze smartfona pojawi się po podłączeniu go do np. czyjegoś laptopa.

Źródło: RPO, FB @Biuro RPO, The Denver Post, TechCrunch, Malwarebytes / Grafika otwierająca: Unsplash @Steve Johnson

7 zastosowań i niepodważalnych zalet USB-C w iPhone 15

Udostępnij