Juice jacking to metoda atakowania urządzeń elektronicznych, w tym smartfonów, tabletów i laptopów przy wykorzystaniu publicznie dostępnych portów USB. Takie ładowarki pojawiają coraz częściej w galeriach handlowych, na lotniskach, dworcach, przystankach, a nawet w autobusach.
Nazwa tej metody wykradania danych pochodzi od amerykańskiego zwrotu, które w dosłownym tłumaczeniu oznaczałoby wyciskanie soku. 'Juice' ma jednak w tym przypadku zupełnie inne znaczenie, to potoczna nazwa prądu elektrycznego, który płynie z portu USB przez kabel aż do naszego telefonu. Przestępcy nie tyle wyciskają sok, ile wciskają tą drogą wirusy do naszego smartfona albo próbują pozyskać od nas dane
- czytamy na portalu ChronPESEL.pl.
Z wyliczeń ekspertów wynika, że wystarczy 80 sekund ładowania urządzenia w publicznej ładowarce USB, żeby mogło zostać zainfekowane złośliwym oprogramowaniem. Oczywiście, nie wszystkie porty USB są zainfekowane, ale w przestrzeni publicznej lepiej ich unikać.
Już kilka miesięcy przed juice jackingiem ostrzegali m.in. eksperci ze FBI oraz U.S. Army Cyber Command (specjalna jednostka USA specjalizująca się w cyberbezpieczeństwie). O ile jeszcze kilka lat temu ataki z wykorzystaniem tej metody były dość trudne do zrealizowania, gdyż wymagały fizycznych nośników, na które trafiłyby wykradzione dane, o tyle w erze chmury i sieci bezprzewodowych cyberprzestępcy mają ułatwione zadanie.
Są jednak eksperci ds. cyberbezpieczeństwa, których zdaniem juice jacking nie jest realnym zagrożeniem. Zwracają uwagę, że nie pojawiły się żadne znane im przypadki takiego użycia portów USB. Ponadto przypominają, że nowoczesne smartfony informują nas o tym, że na telefon przesyłane są dane.
RPO ostrzega przed juice jackingiem. Zwraca uwagę na aplikację mObywatel
Na problem juice jackingu zwrócił również uwagę Rzecznik Praw Obywatelskich, który skierował nawet w tej sprawie pismo do szefa resortu cyfryzacji, Janusza Cieszyńskiego.
Cyberataki są jednymi z największych zagrożeń XXI wieku i jako takie stanowią już dosyć powszechne zjawisko. Nowe metody tych ataków muszą być przedmiotem analizy i refleksji, a także reakcji ze strony właściwych organów.
- stwierdza Marcin Wiącek w dokumencie opublikowanym na stronach RPO. "Od pewnego czasu szeroko dyskutowanym problemem dotyczącym cyberprzestępczości tzw. juice jacking" - dodaje.
Rzecznik Praw Obywatelski zwraca uwagę na to, że eksperci ds. cyberbezpieczeństwa rozróżniają dwa rodzaje ataków z wykorzystaniem juice jackingu - kradzież danych oraz instalację złośliwego oprogramowania.
Ten rodzaj cyberataku w sposób niezwykle głęboki ingeruje w prywatność użytkowników sprzętów, o których mowa powyżej, które miały kontakt z zainfekowanym portem, wobec czego stał się przedmiotem zainteresowania Rzecznika Praw Obywatelskich.
- tłumaczy Wiącek.
RPO przytacza w tym miejscu wydawane przez FBI ostrzeżenia dla użytkowników publicznych portów USB informujące o tym, że hakerzy znaleźli sposób na wstrzyknięcie tam złośliwego oprogramowania. Zdaniem Wiącka - w kontekście Polski - juice jacking może stanowić zagrożenie np. dla użytkowników aplikacji mObywatel, która kilka miesięcy temu stała się pełnoprawnym dowodem osobistym.
Mając na uwadze coraz liczniejsze ostrzeżenia przed taką formą cyberataku, chciałbym zwrócić uwagę Pana Ministra na ten problem i jednocześnie uzyskać informację na temat ewentualnych działań podejmowanych przez Ministerstwo Cyfryzacji i rząd w tej kwestii. Szczególną troską Rzecznika Praw Obywatelskich jest kwestia możliwości zainfekowania telefonu użytkownika publicznego portu USB, który w swoim urządzeniu mobilnym posiada rządowe aplikacje – przykładowo mObywatel
- pisze Rzecznik Praw Obywatelskich.
"Obywatele powinni mieć pewność, że dane przechowywane w aplikacjach rządowych są zabezpieczone przed nieuprawnionym dostępem i przejęciem poprzez ataki typu juice jacking" - zaznacza Wiącek w oświadczeniu opublikowanym w Biuletynie Informacji Publicznej RPO.
Każdy, kto instaluje na swoich urządzeniach elektronicznych rządowe aplikacje, powinien mieć gwarancję, że jego dane będą odpowiednio chronione
- dodaje.
Jak ładować telefon w przestrzeni publicznej?
Choć ataki hakerskie z wykorzystaniem juice jackingu zdarzają się stosunkowo rzadko (w porównaniu z phishingiem czy spoofingiem), to jednak zdecydowanie warto unikać publicznie dostępnych ładowarek USB. Jeśli jednak nie mamy wyjścia i musimy podładować nasz smartfon, to pamiętajmy o tym, by:
1) Po podłączeniu smartfona do ładowarki nie zezwalać na aktywację funkcji transferu danych.
2) Korzystać z z dwuetapowej weryfikacji użytkownika oraz funkcji biometrycznych do logowania.
3) Zawsze aktualizować oprogramowanie smartfona do najnowszej wersji.
