Publiczne stacje ładowania stały się bardzo powszechne. Teraz można znaleźć dostępne gniazdka w centrach handlowych, na lotniskach, a także w restauracjach i kawiarniach.
Jednak raport firmy zajmującej się bezpieczeństwem Kaspersky ujawnił, że przestępcy wykorzystują te publiczne gniazdka do przeprowadzania oszustw mających na celu kradzież danych i zdjęć.
+ Parada wojskowa w Libii ujawnia masowe dostawy rosyjskiej broni i wywołuje krytykę w Rosji
Ataki, znane jako ChoiceJacking, są przeprowadzane na trzy różne sposoby, według firmy. Pierwsza metoda polega na użyciu mikrokomputera udającego stację ładowania.
Ta wersja oszustwa jest najbardziej zaawansowana, ponieważ działa zarówno na urządzeniach iOS, jak i Android. Działa to tak: po podłączeniu smartfona komputer emuluje klawiaturę USB i wysyła polecenia w celu aktywacji Bluetooth w urządzeniu.
Po aktywacji komputer udaje klawiaturę Bluetooth. Następnie łączy się przez USB i udaje komputer. Telefon pyta wtedy użytkownika, czy pozwala na pobranie danych, a komputer za pomocą klawiatury Bluetooth sam potwierdza przyciskiem „Tak”.
Druga metoda działa tylko na telefonach z Androidem i jest nieco prostsza, ponieważ nie wymaga połączenia Bluetooth. W tej wersji komputer udaje klawiaturę USB i przeciąża smartfona bezsensownymi naciśnięciami klawiszy.
Gdy telefon jest zajęty przetwarzaniem tych bezużytecznych danych, komputer rozłącza się i ponownie łączy, tym razem jako komputer. Wtedy ponownie może potwierdzić transfer danych.
Trzecia metoda, również działająca tylko na Androidzie, wykorzystuje Protokół Otwartego Dostępu Androida (AOAP), który jest błędnie implementowany w niemal wszystkich smartfonach.
W ten sposób komputer może połączyć się automatycznie, a gdy pojawi się ekran potwierdzenia pobierania danych, wykorzystuje naciśnięcia klawiszy, aby przesłać wszystkie potrzebne procedury za pomocą AOAP.
W testach Kaspersky próby ataku zostały zablokowane przez Apple i Google w systemach iOS/iPadOS 18.4 i Android 15. Stało się tak, ponieważ w tych systemach operacyjnych transfer danych przez USB wymaga uwierzytelnienia biometrycznego i nie opiera się wyłącznie na przycisku „Tak”.
Zaznaczono jednak, że sama wersja Androida nie wystarczy, by zapobiec atakom. W telefonach Samsung z nakładką One UI 7 uwierzytelnienie biometryczne nie jest wymagane, nawet jeśli działają na Androidzie 15.
Przed użyciem publicznego gniazdka firma zaleca użytkownikom Androida wykonanie testu: podłącz telefon do znanego komputera za pomocą kabla USB. Jeśli urządzenie nie poprosi o uwierzytelnienie biometryczne do pobrania danych, lepiej unikać publicznych stacji ładowania.
Dodatkowo zaleca się, aby zawsze mieć aktualną wersję systemu operacyjnego, korzystać ze swojego własnego ładowarki lub mieć przy sobie powerbank w nagłych wypadkach.
Zdjęcie i wideo: ChatGPT-4. Ten materiał został stworzony przy pomocy SI i zredagowany przez zespół redakcyjny.
