Nabíjíte mobil na veřejnosti? Takto vám zloději ukradnou z telefonu data i fotky, které neměl nikdo vidět
Sledovat v Google Zprávách
Na první pohled jde o neškodnou situaci. Telefon se blíží s nabitím k nule, po ruce není zásuvka. Nicméně na nádraží, v obchodním centru nebo na letišti je k dispozici nabíjecí stanice s USB portem zdarma. Mnoho lidí bez váhání připojí telefon a dál si hledí svého. Jenže právě v takovém okamžiku může dojít k závažnému bezpečnostnímu selhání, které ohrozí osobní data, fotografie, hesla nebo přístup k účtům.
Tento typ útoku má své jméno, takzvaný juice jacking. Bezpečnostní experti, včetně FBI, před ním důrazně varují.
Co je juice jacking a jak funguje
Juice jacking označuje metodu, při které útočník upraví veřejně přístupný USB port tak, aby kromě nabíjení umožnil i přenos dat. Jakmile do něj nic netušící oběť připojí svůj telefon, zařízení může získat přístup k jeho paměti, stáhnout citlivé informace nebo nahrát škodlivý software. Riziko spočívá v tom, že běžný uživatel si není vědom, že port je infikovaný. Nijak se totiž neliší od běžného nabíjecího konektoru.
Veřejně dostupné USB zásuvky se objevují v různých místech. Od letišť, přes obchodní centra, hotely, až po vlaky. V některých případech mohou být kompromitovány celé nabíjecí stanice, jindy útočník upraví jen jeden port. Technicky zdatní útočníci pak mohou telefon infikovat během několika sekund, bez nutnosti jakéhokoliv potvrzení ze strany uživatele.
Proč si většina lidí riziko neuvědomuje
Mnoho moderních telefonů sice obsahuje bezpečnostní opatření. Například Android se zeptá, zda má zařízení připojené přes USB sloužit pouze pro nabíjení, nebo i pro přenos dat. Apple telefony zase ve výchozím nastavení nedovolují komunikaci přes USB, dokud není zařízení odemčeno. Jenže ve stresu, ve spěchu nebo při nízké hladině baterie může člověk snadno udělat chybu a povolit něco, co by jinak zamítl. Kromě toho se útok může obejít i některé bezpečnostní vrstvy a využít zranitelnosti systému nebo starší verze softwaru.
Podle FBI i odborníků z Kaspersky nebo IBM je největší problém právě v nedostatečné informovanosti veřejnosti. Uživatelé mají často dojem, že USB kabel je pasivní prostředek, ale opak je pravdou, jde o obousměrný kanál pro napájení i přenos dat.
Jak se chránit před útoky při nabíjení
Nejjednodušší ochranou je vyhnout se veřejným USB portům a nosit si vlastní nabíječku s klasickou koncovkou do zásuvky. Pokud to není možné, doporučují se tzv. USB data blockery. Malé adaptéry, které dovolí pouze nabíjení a zcela zablokují datovou komunikaci. Existují i powerbanky, které fungují jako bezpečný zdroj energie bez rizika přenosu dat.
Další možností je využívat výhradně vlastní kabely a vyhnout se těm, které jsou veřejně dostupné. Útočníci totiž někdy podstrčí i kabel, který je na první pohled neškodný, ale uvnitř obsahuje čip schopný přenášet data nebo instalovat malware.
Bezpečnostní experti rovněž doporučují pravidelně aktualizovat operační systém a neinstalovat podezřelé aplikace. Pokud si uživatel všimne podivného chování telefonu po nabíjení, např. nadměrné vybíjení baterie, neobvyklé aplikace nebo přesměrování v prohlížeči, měl by zvážit bezpečnostní kontrolu zařízení nebo jeho resetování.
Rizika nejsou teoretická
Juice jacking není pouze teoretická hrozba. Podle zpravodajských agentur a bezpečnostních organizací již došlo k několika zdokumentovaným případům, kdy touto metodou útočníci získali přístup k firemním datům, osobním účtům nebo soukromým fotografiím. V některých případech byla data dále zneužita k vydírání nebo krádeži identity.
Například v jednom z případů FBI upozorňuje na situaci, kdy útočník nasadil upravený port v letištní hale. Oběť si myslela, že nabíjí svůj mobil před letem, ve skutečnosti ale došlo ke stažení části obsahu z telefonu, včetně přihlašovacích údajů. Ty byly později zneužity k přístupu do e-mailu i bankovní aplikace.
Shrnutí a doporučení
Přestože většina veřejných USB nabíječek je bezpečná, riziko juice jackingu není zanedbatelné. Uživatelé by měli být obezřetní a v případě nutnosti nabíjet telefon v terénu volit raději klasickou zásuvku nebo mít s sebou vlastní powerbanku. Investice do USB data blockeru je nízká, ale přínos v oblasti bezpečnosti obrovský. Vždy platí, že prevence je nejlepší obranou. U osobních dat to platí dvojnásob.
