Quando si utilizzano i servizi di ricarica USB pubblici, sempre più diffusi in stazioni, aeroporti, hotel e spazi all’aperto, occorre fare molta attenzione.
Un hacker, tramite la stazione di ricarica USB, può iniettare un malware o carpire i dati dal dispositivo in carica o fornire molta più tensione del necessario in modo da danneggiarlo permanentemente.
Questa tipologia di attacchi informatici è ormai nota dal 2011, quando fu presentata nel corso dell’evento Defcon con lo scopo di sensibilizzare il pubblico su questa tecnica. Da allora, sono stati rilasciati – e potenzialmente utilizzati – diversi modelli e strutture juice jacking sempre più sofisticati.
Non risultano arresti di bande di criminali che sfruttano questa tecnica. Questo tipo di attacco tramite le stazioni di ricarica USB è facile da perpetrare ed è a disposizione di tutti, ma è limitato a livello geografico e non permette ai criminali informatici di colpire un numero elevato di persone.
Juice Jacking: furto dei dati personali e danni ai dispositivi mobile
Le porte USB sono molto diffuse e si trovano ovunque intorno a noi: dai trasporti pubblici alle panchine intelligenti nei parchi, alle stazioni di ricarica USB nelle aree pubbliche. Il fatto che queste porte siano facilmente accessibili può permettere ad un hacker di manomettere i circuiti interni per inserire un dispositivo hardware dannoso utilizzando la tecnica del juice jacking con l’obiettivo di impossessarsi dei dati personali di utenti inconsapevoli.
Oltre al furto dei dati, potrebbe essere a rischio anche il funzionamento del dispositivo stesso. I dispositivi USB normalmente lavorano a 5 volt, voltaggio sicuro per i dispositivi e la batteria inclusa. Con la tecnica del Juice Jacking, l’hacker può incrementare la tensione di una stazioni di ricarica USB compromessa con lo scopo di danneggiare in modo permanente i dispositivi in carica.
Come difendersi dagli attacchi Juice Jacking
Negli ultimi anni, sono state implementate sempre più soluzioni di sicurezza a livello di sistema operativo o sono stati prodotti adattatori hardware indipendenti per l’uso sicuro dell’alimentazione USB proveniente da fonti sconosciute e non attendibili. Per esempio, sia iOS che Android impediscono al dispositivo di mostrarsi come un disco rigido quando è collegato a una porta USB per evitare l’accesso non autorizzato alla memoria e il possibile furto di dati.
In generale per evitare di essere colpiti da questo tipo di attacco, è opportuno usare solo prese di corrente di cui ci si fida oppure munirsi di batterie di ricarica esterne quando si è fuori casa.
Di Bogdan Botezatu, Director of Threat Research and Reporting di Bitdefender
