Durante casi una década, nuestros teléfonos tienen protección incorporada contraataques de Juice Jackingque explotar la conexión USB. Desafortunadamente, ahora hay un nuevo tipo de ataque de Juice Jacking que evita esta protección de una manera inteligente. Aprendamos cuál es este nuevo ataque y cómo protegerse.
Al ser denominado "Choice Jacking", este nuevo ataque ha sido encontrado e informado por elInvestigadores de la Universidad Tecnológica de Graz, quienes demostraron cómo los piratas informáticos pueden usar cargadores maliciosos para robar datos del teléfono.
Los investigadores probaron el ataque en 11 modelos telefónicos de 8 proveedores diferentes, y extrajeron con éxito datos de 10 teléfonos. Si bien hay una condición para cumplir con el ataque, todavía es bastante fácil obtener acceso.
Así es como funciona el ataque:
- El teléfono de la víctima debe estar conectado al cargador malicioso y la pantalla desbloqueada.
- El cargador actúa primero como un teclado, usando su teléfono como anfitrión. El teclado envía comandos para habilitar Bluetooth, hace que el dispositivo sea descubierto y otro componente Bluetooth en los pares de cargadores con él.
- Luego crea una conexión de datos USB normal, pero usa la conexión Bluetooth para simular el tapping en la pantalla de confirmación para usar la conexión USB para la transferencia de datos.
- Ahora, junto con la conexión Bluetooth y la conexión de datos USB, puede robar imágenes, documentos y datos de aplicaciones.
Si bien sigue siendo un experimento controlado en lugar de un ataque informado, se espera que tales ataques puedan aparecer en las estaciones de carga pública donde la tecnología se puede implementar fácilmente sin previo aviso.
Los investigadores también señalaron que puede obtener un acceso aún más elevado si la depuración USB está habilitada en el teléfono. UsandoPuente de depuración de Android, pueden enviarComandos ADBPara obtener mucho más control, como instalar aplicaciones, acceder a archivos del sistema y cambiar la configuración del teléfono.
Cómo mantenerse a salvo y proteger sus datos en el teléfono
Los investigadores ya habían informado de esta vulnerabilidad, y Apple y Google han tomado medidas para protegerla. Sin embargo, la solución no está disponible para todos los dispositivos, por lo que debe seguir algunas medidas de protección para garantizar que este tipo de ataque no lo afecte. A continuación se presentan algunas formas de evitar este nuevo ataque de Juice Jacking:
No use estaciones de carga pública
Este y cualquier otro tipo de ataque de Juice Jacking casi siempre ocurre en estaciones de carga pública, como en centros comerciales o aeropuertos. Por lo tanto, simplemente tratar de evitar cargar su teléfono en las estaciones de carga pública es su mejor opción. Si es posible, intente mantener el cargador de su teléfono con usted o al menos llevar unbanco de energíaSi a menudo se mantiene alejado de su lugar de carga.
Actualizar el sistema operativo de su teléfono
Apple y Google han implementado la verificación de patrones o biométricos para la conexión de datos USB en sus últimas actualizaciones. Apple agregó esto en la actualización de iOS 18.4, y Google agregó esta protección en Android 15.
Sin embargo, en Android, esta protección hasta ahora solo ha sido confirmada enDispositivos de Google Pixel. Dado que agrega otro paso de verificación para los usuarios, los fabricantes de Android dudan, ya que puede afectar negativamente la experiencia del usuario. La mayoría de los teléfonos Android tampoco han recibido la actualización de Android 15, o no son elegibles para ello.
Actualice su dispositivo iOS a 18.4 y, si es posible, su teléfono Android a Android 15, luego conéctese a través del cable USB para verificar si solicita la autenticación.
Use un cable USB solo de carga o un bloqueador de datos USB
Los cables USB solo de carga siempre han existido para evitar ataques de Juice Jacking, y también funcionan bien para Choice Jacking. Estos cables no tienen pasadores de datos, por lo que no pueden transferir datos en absoluto. Incluso si se conecta a una estación de carga comprometida, estos cables solo cargarán el teléfono.
El bloqueador de datos USB es otro dispositivo similar que se adhiere a su cable USB y evita que las señales de datos se transfieran, logrando los mismos resultados que un USB solo de carga.Bloqueador de datos USB JSAUXes un dispositivo popular para este propósito. Jsaux también ofrece unCable de bloqueador de datos USB-CSi prefiere llevar un cable.
Consejo:También puede convertir su cable USB normal en un cable solo de carga colocando un trozo de cinta en los dos pasadores de contacto USB del medio (son para transferencia de datos).
Monitorear el teléfono
Si debe cargar el teléfono en una estación de carga pública y no tiene protecciones en su lugar, al menos monitoree el teléfono para obtener un comportamiento irregular. Si el teléfono enciende Bluetooth automáticamente o nota un menú de selección de modo de conexión USB, debe desconectarse inmediatamente. En caso de que necesite salir del teléfono, asegúrese de que el bloqueo de la pantalla esté habilitado y aplicado.
Al final, utilizando cualquier tecnología disponible públicamente, comoRedes de Wi-Fi públicas, conlleva cierto riesgo. Solo debe conectar su dispositivo con un dispositivo de servicio público si es necesario, y asegurarse de que las protecciones recomendadas estén en su lugar. Para evitar todos los tipos de ataques de juego de jugo, usar un cable de carga es la mejor práctica.