Julkiset latausasemat ovat yleistyneet huomattavasti. Nykyään voit löytää pistorasioita ostoskeskuksista, lentokentiltä sekä ravintoloista ja kahviloista.
Tietoturvayhtiö Kaspersky:n raportti paljasti kuitenkin, että rikolliset käyttävät näitä julkisia pistorasioita suorittaakseen tietojen ja valokuvien varastamiseen liittyviä huijauksia.
+ Ukrainan puolustusministeriö hyväksyy “anti-drone-pistoolin” sotilaskäyttöön
Hyökkäykset, jotka tunnetaan nimellä ChoiceJacking, toteutetaan yhtiön mukaan kolmella eri tavalla. Ensimmäisessä menetelmässä käytetään mikrotietokonetta, joka on naamioitu latausasemaksi.
Tämä on monimutkaisin huijaus, sillä se toimii sekä iOS- että Android-laitteilla. Kun puhelin liitetään asemaan, tietokone esiintyy USB-näppäimistönä ja lähettää komentoja Bluetoothin aktivoimiseksi.
Bluetoothin aktivoitumisen jälkeen tietokone esiintyy Bluetooth-näppäimistönä. Tämän jälkeen se yhdistetään USB:n kautta tietokoneeksi. Puhelin kysyy käyttäjältä lupaa tietojen lataamiseen, ja Bluetooth-näppäimistön kautta tietokone painaa itse “Kyllä”.
Toinen menetelmä toimii vain Android-laitteilla ja on yksinkertaisempi, koska se ei vaadi Bluetooth-yhteyttä. Tässä tapauksessa tietokone esiintyy USB-näppäimistönä ja kuormittaa puhelinta satunnaisilla näppäinpainalluksilla.
Kun puhelin yrittää käsitellä näitä merkityksettömiä komentoja, tietokone irrottaa ja liittää itsensä uudelleen — nyt tietokoneena. Sen jälkeen se voi jälleen hyväksyä tiedonsiirron.
Kolmas menetelmä toimii myös vain Android-laitteilla ja hyödyntää Androidin AOAP-protokollaa (Android Open Accessory Protocol), joka on lähes kaikissa puhelimissa virheellisesti toteutettu.
Näin tietokone voi muodostaa yhteyden automaattisesti ja kun tietojen latauksen vahvistusikkuna ilmestyy, se käyttää näppäinpainalluksia hyväksyäkseen kaikki tarvittavat vaiheet AOAP:n kautta.
Kaspersky:n testeissä Apple ja Google estivät hyökkäysyritykset iOS/iPadOS 18.4- ja Android 15 -käyttöjärjestelmissä. Näissä käyttöjärjestelmissä USB-tiedonsiirto vaatii biometrisen tunnistuksen eikä perustu enää pelkkään “Kyllä”-painikkeeseen.
Yhtiö kuitenkin huomauttaa, että Androidin versio ei yksin riitä estämään hyökkäyksiä. Samsungin puhelimissa, joissa on One UI 7 -käyttöliittymä, ei vaadita biometristä tunnistusta, vaikka käyttöjärjestelmä olisi Android 15.
Ennen julkisen pistorasian käyttöä yhtiö suosittelee Android-käyttäjiä testaamaan: yhdistä puhelin luotettavaan tietokoneeseen USB-kaapelilla. Jos laite ei pyydä biometristä tunnistusta tietojen lataamiseen, julkisia latausasemia kannattaa välttää.
Lisäksi suositellaan pitämään käyttöjärjestelmä ajan tasalla, käyttämään ensisijaisesti omaa laturia tai kantamaan mukana varavirtalähdettä hätätilanteita varten.
Kuva ja video: ChatGPT-4. Tämä sisältö on luotu tekoälyn avulla ja tarkistettu toimitustiimin toimesta.
