Nabíjení telefonů v obchodních centrech, na letištích, nádražích, v restauracích a podobných zařízeních se může zdát jako příjemná služba. Bohužel však může být doprovázeno nepříjemnými bezpečnostními riziky.
Možná jste už slyšeli termín juice jacking, který spadá do kategorie hackerských útoků. Tento pojem označuje způsob napadení zařízení (nejčastěji smartphonu nebo tabletu) prostřednictvím nabíjecího kabelu, který kromě přenosu elektrické energie umožňuje i přenos dat.
Cílem juice jackingu je buď nainstalovat do zařízení škodlivý software (malware), nebo z něj získat citlivá data. Bohužel je tento útok až překvapivě snadné provést.
Nejčastěji k němu dochází na veřejných místech, jako jsou letiště, nádraží a obchodní centra, ale výjimkou nejsou ani zdánlivě bezpečné lokality, například hotely, vlaky nebo restaurace.
V hotelech se často setkáme nikoli pouze se zásuvkou, ale přímo s nabíjecím kabelem s různými koncovkami, aby vyhovoval co nejširší škále zařízení. Druhý konec kabelu však může být skrytý a vést k neznámému zdroji.
Další oblíbenou variantou, zejména v zemích s odlišným standardem elektrických zásuvek, jsou univerzální redukce pro nabíječky.
Jak to vlastně funguje?
Princip tohoto útoku je velmi jednoduchý. Ve zdánlivě běžném kabelu nebo redukci může být zabudovaný čip, který se postará o přenos dat.
Po připojení telefonu k nabíjecímu místu se sice zařízení začne nabíjet, ale zároveň může dojít k přenosu dat – buď do telefonu, nebo z něj. V prvním případě se do telefonu může nahrát sledovací software, který odchytává hesla, připojení k bankovnictví, zprávy, polohu a další citlivé informace. Ve druhém případě se může celý obsah telefonu stáhnout na úložiště útočníka.
Data bývají často přenášena bezdrátově na blízké zařízení, nebo sofistikovanější malware může využít mobilní data či Wi-Fi daného místa k jejich odeslání do cloudu.
Některý škodlivý software dokáže v telefonu zůstat a následně průběžně odesílat informace o navštívených stránkách, zhlédnutých videích, aktivitě na sociálních sítích a mnoha dalších citlivých údajích.
Jak se chránit?
Samotný operační systém telefonu (Android, iOS) obvykle uživatele na přenos dat upozorní a vyžádá si jeho potvrzení. Bohužel většina lidí tuto hlášku automaticky odsouhlasí v domnění, že se jedná o běžnou informaci o nabíjení.
Nejúčinnější ochranou je používání vlastní nabíječky a připojení přes klasickou zásuvku 230 V, kde žádné riziko nehrozí.
Další možností je použití speciálního nabíjecího kabelu, který neumožňuje přenos dat – pouze napájení. Takový kabel však může omezit některé funkce, například rychlonabíjení, které často vyžaduje datovou komunikaci s nabíječkou.
Alternativně lze využít vlastní powerbanku. Některé modely navíc umožňují napájení přes externí zdroj, ale data mezi powerbankou a telefonem nepřenášejí. Jedná se o dva oddělené okruhy: powerbanka-telefon a powerbanka-externí zdroj.
Nejlepší ochranu proti juice jackingu mají uživatelé iPhonů. Stačí v Nastavení → Face ID a kód deaktivovat přístup k datům při nabíjení.
U Androidů je podobná ochrana dostupná až od verze 15. Režim Lockdown, dostupný přes vypínací obrazovku, vypne notifikace, čtečku otisků prstů a zároveň zabrání přenosu dat během nabíjení.
Co na to provozovatelé veřejného nabíjení?
Provozovatelé těchto nabíjecích míst za problém nemohou. Útočníci mohou jednoduše vyměnit kabel nebo nasadit podvodnou nabíjecí stanici na stávající infrastrukturu tak, že rozdíl není na první pohled patrný.
Specialita na závěr
Juice jacking může nastat i při připojení telefonu k fotokiosku pro tisk fotografií. Zde je přenos dat nevyhnutelný, jinak by zařízení nemohlo k fotkám přistupovat. Nejbezpečnější variantou je tedy poslat fotografie přes Bluetooth a kabel vůbec nezapojovat.