O escritório do FBI em Denver está alertando os consumidores sobre o uso de estações de carregamento públicas gratuitas, dizendo que os malfeitores podem usar as portas USB nas paradas de suco para introduzir malware e software de monitoramento nos dispositivos.
“Carregue seu próprio carregador e cabo USB e use uma tomada elétrica”, recomendou a agência em um tweet recente.
O “juice jacking” existe há uma década, embora ninguém saiba o quão difundida a prática se tornou.
“Tem havido muita conversa sobre isso ser público, mas não muito divulgado”, observou Brian Markus, CEO da Segurança de Áriesuma empresa de pesquisa e educação em segurança em Wilmington, Del. Markus, e seu colega Robert Rowley demonstraram pela primeira vez o juice jacking em 2012.
“Os carregadores Juice Jacking são como skimmers de caixas eletrônicos”, disse Markus ao TechNewsWorld. “Você ouve muito sobre eles, mas não necessariamente os vê.”
Evite usar estações de recarga gratuitas em aeroportos, hotéis ou shopping centers. Os malfeitores descobriram maneiras de usar portas USB públicas para introduzir malware e software de monitoramento nos dispositivos. Leve seu próprio carregador e cabo USB e use uma tomada elétrica. pic.twitter.com/9T62SYen9T
— FBI Denver (@FBIdenver) 6 de abril de 2023
Ele explicou que alguém que deseja adulterar uma estação de carregamento de energia legítima pode mudar o cabo da estação para um cabo adulterado, que contém o chip que pode instalar um Trojan de acesso remoto, ou backdoor, em um telefone. Em seguida, o telefone pode ser atacado a qualquer momento pela Internet.
“É especialmente prevalente em telefones Android com versões mais antigas do sistema operacional”, disse Markus. “É por isso que é importante que os usuários mantenham seus dispositivos atualizados.”
Opiniões Divergentes
Parece haver opiniões conflitantes na comunidade de segurança sobre a importância do juice jacking para os consumidores.
“Não é muito comum em geral porque usar uma instalação de carregamento remoto não é algo que as pessoas fazem com muita frequência”, observou Bud Broomhead, CEO da viakoodesenvolvedora de soluções de software de segurança cibernética e física em Mountain View, Califórnia.
“No entanto, se alguém for usuário de um sistema de cobrança fora de seu controle, o aviso emitido pelo FBI deve fazer com que mude seu comportamento, pois os casos estão aumentando”, disse ele ao TechNewsWorld.
ANÚNCIO
Aviram Jenik, presidente da Apona Segurançauma empresa de segurança de código-fonte em Roseville, Califórnia, afirmou que o juice jacking é “extremamente comum”.
“Não temos números porque os dispositivos tendem a estar em lugares onde as pessoas não ficam muito tempo, então é fácil colocar um dispositivo não autorizado e depois recuperá-lo”, disse ele ao TechNewsWorld.
“Isso já é feito há anos, e o aparecimento de estações de carregamento infectadas por malware é quase regular”, acrescentou.
“À medida que o carregamento se torna cada vez mais sofisticado – ou seja, os dados trafegam nos mesmos cabos que carregam uma carga – isso vai piorar”, disse ele. “Quando o alvo é de maior valor – por exemplo, um EV versus um telefone celular – as apostas serão maiores.”
Jenik acrescentou que outro desenvolvimento futuro seria o carregamento sem fio, que permitiria aos invasores realizar um ataque sem que ninguém visse o dispositivo físico usado para a violação.
Problema de Comunicação Bidirecional
Juice jacking é provavelmente mais provável de ocorrer em áreas frequentadas por pessoas de interesse – políticos ou funcionários de agências de inteligência, afirmou Andrew Barratt, gerente principal de soluções e investigações da Fogo de carvãoum provedor de serviços de consultoria em segurança cibernética com sede em Westminster, Colorado.
“Para que um ataque de juice jacking seja eficaz, ele teria que fornecer uma carga útil muito sofisticada que pudesse contornar as medidas comuns de segurança do telefone”, disse ele ao TechNewsWorld.
“Francamente”, ele continuou, “eu ficaria mais preocupado com o fato de as tomadas serem tão usadas a ponto de danificar meu fio ou a tomada do telefone.”
Juice jacking explora a tecnologia USB para fins maliciosos. “O problema é que as portas USB permitem comunicação bidirecional, não apenas para carregamento de energia, mas também para transmissão de dados. É assim que seu dispositivo USB pode enviar fotos e outros dados quando você o conecta”, explicou Roger Grimes, evangelista de defesa da KnowBe4um provedor de treinamento de conscientização de segurança em Clearwater, Flórida.
“A porta USB nunca foi projetada para evitar comandos maliciosos avançados enviados pelo canal de dados”, disse ele ao TechNewsWorld. “Houve muitas melhorias de segurança na porta USB ao longo dos anos, mas ainda existem caminhos adicionais de ataque, e a maioria dos dispositivos habilitados para USB permitem que a porta de carregamento se declare uma versão antiga do padrão da porta USB, portanto, alguns dos recursos de proteção mais recentes não estão mais disponíveis.”
Os EVs serão os próximos?
JT Keating, vice-presidente sênior de iniciativas estratégicas da Zimperiumfornecedora de soluções de segurança móvel em Dallas, alertou os consumidores a terem cuidado com soluções gratuitas que se autodenominam serviços “públicos”.
“Quando os hackers enganam as pessoas para que usem suas redes Wi-Fi e estações de energia falsas, eles podem comprometer os dispositivos, instalar malware e spyware e roubar dados”, disse ele ao TechNewsWorld.
“Essa tendência continuará e evoluirá à medida que mais e mais pessoas se conectarem a estações de carregamento de veículos elétricos para seus veículos elétricos”, continuou ele. “Ao comprometer uma estação de carregamento de veículos elétricos, os invasores podem causar estragos ao roubar informações de pagamento ou fazer uma variação de ransomware ao desativar as estações e impedir a cobrança.”
ANÚNCIO
Barratt, da Coalfire, observou que as estações de carregamento de EV têm sido uma preocupação por um tempo, mas os problemas têm sido o roubo de cargas ou o uso gratuito das estações.
“A longo prazo”, disse ele, “suspeito que haja uma preocupação de que continuaremos a ver mais ataques contra esses carregadores à medida que o mundo faz a transição para carregadores de veículos elétricos”.
“Quando tínhamos telefones públicos, havia ataques contra eles”, continuou ele. “Há ataques regulares contra caixas eletrônicos e bombas de gasolina. Qualquer coisa em que o valor seja dispensável em um ambiente autônomo, há um potencial de recompensa para um ladrão cibernético aproveitar.”
Evite ser vítima de Juice Jacking
Desde que Markus e Rowley introduziram o juice jacking ao mundo, as condições melhoraram para os atacantes. A conectividade sem fio foi adicionada às portas de carregamento, por exemplo.
“Quando fizemos isso pela primeira vez, tínhamos um laptop inteiro escondido na estação de carregamento e ele estava trabalhando muito”, observou Markus. “A quantidade de poder de computação para fazer a mesma coisa agora é significativamente menor.”
O FBI não é a única agência do alfabeto a soar o alarme sobre o juice jacking. A FCC, no passado, também alertou os consumidores sobre a prática. Para evitar ser vítima de juice jackers, recomenda-se:
- Evite usar uma estação de carregamento USB. Em vez disso, use uma tomada elétrica CA.
- Ao viajar, leve seu próprio AC, carregadores de carro e cabos USB.
- Leve um carregador portátil ou bateria externa.
- Considere carregar um cabo apenas para carregamento, que impede o envio ou recebimento de dados durante o carregamento, de um fornecedor confiável.
