Cos’è lo Juice Jacking?
Ricarica sicura o rischio nascosto? Scopri cos’è lo Juice Jacking e come proteggerti dai pericoli online!
Juice Jacking: di cosa si tratta? Tutti conosciamo la fastidiosa sensazione, quando siamo lontani da casa, di aver dimenticato di portare con noi il caricabatterie e, di conseguenza, di rimanere con lo smartphone completamente scarico.
Perciò, può sembrare naturale ricaricarlo dove possibile, magari usando una delle comode stazioni di ricarica pubbliche.
Tuttavia, questa azione apparentemente banale comporta dei rischi significativi e dovrebbe essere evitata poiché, quando si ricarica uno smartphone presso chioschi di ricarica pubblici, c’è il rischio di installare software malevoli sui dispositivi, compromettendoli. Una volta collegato lo smartphone alla postazione di ricarica, il codice malevolo può essere attivato e ciò permetterà agli hacker di accedere ai dati presenti sul telefono, dando vita al cosiddetto “juice jacking” (l’espressione deriva dalla combinazione di due parole inglesi: juice, che significa “succo” o “energia”, e jacking che in informatica indica l’azione di rubare o prendere il controllo di un sistema).
La Storia del Juice Jacking
In verità, questo tipo di attacco non è affatto nuovo e fu presentato già nel 2011, durante il Defcon di Las Vegas, una delle conferenze più importanti al mondo: in quell’occasione, i ricercatori Brian Markus, Joseph Mlodzianowski e Robert Rowley crearono una stazione di ricarica per smartphone con l’obiettivo di dimostrare l’attacco.
La stazione di ricarica era dotata di vari tipi di cavi adatti per i dispositivi mobili più comuni dell’epoca.
Quando un dispositivo veniva collegato alla stazione, appariva sullo schermo un messaggio che avvertiva gli utenti dei possibili rischi, ma molti ignorarono il suggerimento: “Non dovresti fidarti dei chioschi pubblici con il tuo smartphone. Le informazioni possono essere recuperate o scaricate senza il tuo consenso. Fortunatamente per te, questa stazione ha preso la strada etica e i tuoi dati sono al sicuro. Goditi la ricarica gratuita!”.
Un anno più tardi, il ricercatore Kyle Osborn ha delineato un attacco chiamato “Phone to Phone Android Debug Bridge” (P2P-ADB) che sfruttava la funzionalità USB OTG.
Con questo metodo, collegando un altro dispositivo Android a quello della vittima tramite cavo, diventa possibile estrarre tutte le informazioni memorizzate al suo interno, inclusi dati sensibili come password e documenti personali.
Durante la conferenza Black Hat 2013, si è tornati a discutere del juice jacking grazie alla presentazione di un esperimento chiamato “Mactans” da parte di un gruppo di ricercatori della Georgia Tech. Mactans utilizzava componenti elettronici integrabili in un caricabatterie a muro o in un adattatore USB per caricare malware sul dispositivo connesso a valle in appena 80 secondi.
Nel DefCon del 2016, inoltre, i ricercatori di Aries Security hanno presentato un nuovo tipo di attacco chiamato “video jacking”: questo attacco consiste nel riflettere lo schermo del dispositivo su un altro monitor (mirroring), permettendo all’aggressore di visualizzare ciò che appare sullo smartphone della vittima. Il cavo USB utilizzato per la ricarica del dispositivo è stato modificato in modo da registrare e inviare il flusso video dallo smartphone della vittima a un altro dispositivo controllato direttamente dall’hacker.
Nel novembre 2019, il vice procuratore distrettuale di Los Angeles emise un avviso riguardante i rischi del juice jacking durante le prossime festività natalizie. Tuttavia, dopo tale annuncio, non furono segnalati casi di chioschi dannosi trovati in luoghi pubblici o incidenti che evidenziassero l’uso di pratiche criminali. A causa di questa mancanza di prove concrete, molte persone criticarono la decisione del vice procuratore, definendola un “allarme ingiustificato”.
A ridosso di Pasqua 2023, numerose testate giornalistiche italiane e internazionali hanno ripreso un tweet dell’FBI che consigliava di evitare l’uso dei caricabatterie pubblici presenti negli aeroporti, negli hotel e nei centri commerciali. Questo suggerimento ha rapidamente ottenuto una vasta eco a livello globale.
Sulla questione è intervenuta anche la Federal Communication Commission (Fcc) che ha messo in guardia gli utenti anche su un altro aspetto: i criminali informatici potrebbero perfino lasciare collegati alla colonnina di ricarica dei cavi modificati, da usare per diffondere malware direttamente nei dispositivi.
Come funziona?
Proviamo a capire, adesso, come avviene un attacco “juice jacking”.
Come già sottolineato, esso consiste nell’uso del cavo di alimentazione USB come canale di comunicazione per accedere ai dati presenti nello smartphone.
Il cavo USB è uno strumento comune incluso con gli smartphone e viene solitamente utilizzato con l’alimentatore fornito in dotazione. Tuttavia, può essere utilizzato anche per collegare il telefono ad altre fonti di alimentazione, come una porta USB di un computer o una presa USB di ricarica in luoghi pubblici, come ad esempio nelle camere d’albergo durante i viaggi.
Il problema è che il cavo USB è anche in grado di trasmettere dati, quindi collegando lo smartphone a una presa USB pubblica, si corre il rischio di collegarlo involontariamente a un altro computer e, di conseguenza, esporlo a un potenziale attacco informatico senza nemmeno rendersene conto.
Pertanto, questo tipo di violazione di sicurezza può avvenire attraverso due metodi principali: l’installazione di un software malevolo, noto come malware, o la copia nascosta dei dati presenti in uno smartphone, tablet o computer portatile. Gli esperti segnalano che i dispositivi Android sono più vulnerabili rispetto a quelli di Apple, ma nessun dispositivo è completamente immune da questa pratica. Quello che lo rende particolarmente insidioso è il fatto che il rischio persiste anche dopo aver staccato il cavo di ricarica dal nostro dispositivo.
Il tracciamento dei dati può continuare anche successivamente all’attacco, permettendo ai pirati informatici di continuare a rubare dati, informazioni, foto e video. Inoltre, questo tipo di attacco può comportare altri rischi, come l’utilizzo di “cryptominer” nascosti all’interno di app, siti web o link, che sfruttano le risorse del computer infettato per generare criptovalute senza il consenso del proprietario. Ci sono anche il rischio di spyware o trojan, che possono danneggiare il dispositivo, e i ransomware, che criptano i dati e chiedono un riscatto, spesso sotto forma di denaro, per ripristinare l’accesso ai file.
In sostanza, un’azione apparentemente innocua come la ricarica di un cellulare può avere conseguenze gravi e compromettere la sicurezza dei nostri dati e dispositivi. È importante essere consapevoli di tali minacce e prendere precauzioni adeguate quando si utilizzano dispositivi in luoghi pubblici o si collegano a fonti di ricarica non attendibili.
Come proteggersi?
L’FBI e l’agenzia americana FCC hanno fornito alcuni suggerimenti e consigli molto utili per prevenire e contrastare il fenomeno del juice jacking:
1) Evitare di utilizzare una stazione di ricarica USB pubblica, utilizzare invece una presa di corrente.
2) Durante i viaggi, portare con sé caricatori, caricabatterie per l’auto e cavi USB personali.
3) Portare con sé un caricabatterie portatile o una batteria esterna.
4) Optare per un cavo di sola ricarica, che impedisce la trasmissione o ricezione di dati durante la ricarica.
5) Se collegando il dispositivo a una porta USB appare un messaggio per selezionare “Condividi dati” o “Solo ricarica”, scegliere sempre l’opzione “Solo ricarica” per evitare potenziali rischi di sicurezza.
Il sito dell’FBI offre ulteriori suggerimenti standard per la sicurezza informatica, tra cui il cambio regolare delle password e l’uso di strumenti antivirus efficaci. Oltre a questi, sottolinea l’importanza di evitare operazioni sensibili, come transazioni finanziarie, acquisti online con carta di credito o l’accesso a siti importanti come quelli della banca o del lavoro, quando si è connessi a una rete pubblica.
Queste raccomandazioni sono estremamente utili, ma alla base di tutto dovrebbe esserci una solida e costante preparazione riguardo ai rischi informatici. La migliore difesa contro gli attacchi informatici, che oggi possono essere presenti ovunque nella nostra vita quotidiana, non è semplicemente un elenco di regole da memorizzare, ma piuttosto una “mentalità digitale” sicura che ci rende resistenti e invulnerabili, raggiungibile attraverso un percorso di formazione completo, continuo e di alta qualità. In tal modo, saremo meglio preparati ad affrontare le minacce informatiche sempre in evoluzione e proteggere meglio i nostri dati e dispositivi.
Sei vittima di un crimine informatico?
Contattaci subito!
