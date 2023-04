V zadnjih dneh se je na spletu znova širilo opozorilo pred polnjenjem pametnih telefonov prek priključkov USB na javnih mestih, kot so avtobusne postaje, letališča in knjižnice. Tokrat je bil vir opozorila ameriški preiskovalnih urad FBI, ki svari, da lahko javna polnilna mesta kiberkriminalci predelajo tako, da pridobijo dostop do vsebine pametnih telefonov uporabnikov takšnih polnilnic oziroma celo prevzamejo nadzor nad njihovimi napravami. Gre sicer za dobronameren nasvet, toda FBI je bil v spletnih razpravah tudi tarča kritik, da po nepotrebnem povzroča preplah. Do zdaj namreč tako rekoč ni bilo dokumentiranega verodostojnega primera, pri katerem bi lahko z gotovostjo trdili, da je napadalec podatke žrtvi res ukradel na tak način.

Način za prevzem nadzora nad pametnim telefonom ali drugo napravo oziroma kraja podatkov z naprave, medtem ko se ta polni prek kabla USB, je med strokovnjaki za informacijsko varnost znan kot tako imenovani juice jacking.

Gre za v teoriji izvedljivo metodo vdora v pametni telefon, pri katerem zlonamernež javno polnilno postajo predela tako, da mu omogoči dostop do vsebine pametnega telefona, ki je s polnilno postajo povezan prek kabla USB, oziroma nanj na daljavo, prek polnilne postaje, naloži zlonamerni program, s katerim bo kasneje lahko prevzel nadzor nad vsemi funkcijami pametnega telefona.

Polnilna postaja na britanskem letališču Heathrow. Foto: Matic Tomšič

Izpostava ameriškega preiskovalnega urada FBI v Denverju je pred dnevi na Twitterju objavila opozorilo, da naj se ljudje polnilnih postaj na javnih mestih, kot so letališča, hoteli, kavarne, trgovska središča in knjižnice, raje izogibajo, ker lahko postanejo žrtve tako imenovanega juice jackinga.

Avoid using free charging stations in airports, hotels or shopping centers. Bad actors have figured out ways to use public USB ports to introduce malware and monitoring software onto devices. Carry your own charger and USB cord and use an electrical outlet instead. pic.twitter.com/9T62SYen9T — FBI Denver (@FBIDenver) April 6, 2023

Kasneje so dodali, da gre zgolj za redno opozorilo, ki ni povezano z nobenim nedavnim tovrstnim incidentom.

Kako resna je grožnja?

Juice jacking je bil redna tema srečanj etičnih hekerjev v prvi polovici prejšnjega desetletja, nato pa je nekoliko zamrl. Glavni razlog za to je bil napredek v razvoju varnostnih prvin dveh največjih platform za mobilne naprave, Androida in iOS-a, ki sta uporabnike, ko so pametni telefon s kablom povezali z računalnikom ali drugo napravo, začela spraševati, kaj želijo storiti s kabelsko povezavo oziroma ali drugi napravi dovolijo dostop do podatkov. Pred tem sta samodejno omogočila dostop do vsebine v napravi.

iPhone uporabnika, ko zazna, da je priključen na računalnik ali drugo napravo, vpraša, ali želi omogočiti dostop do datotek v napravi. Podobno storijo pametni telefoni z Androidom. Foto: Matic Tomšič

Dejstvo je sicer, da do zdaj še ni bilo kredibilnega dokumentiranega primera zlorabe javne polnilne postaje za prevzem nadzora nad pametnim telefonom, ki se polni, oziroma za krajo podatkov s pametnega telefona oziroma katere druge naprave na tak način.

Zaradi tega je bil FBI v nekaterih razpravah na Twitterju in forumu Reddit tudi tarča opazk, da po nepotrebnem povzroča preplah. Podobno so strokovnjaki iz sfere informacijske varnosti leta 2019 kritizirali losangeleško tožilstvo, ki je javnost opozarjalo na nevarnost juice jackinga. Takrat naj bi opozorila temeljila na resničnih primerih uporabe te metode, a se je kasneje izkazalo, da to ni bilo res.

Vse to sicer še ne pomeni, da pozivi k previdnemu ravnanju pri polnjenju pametnih telefonov v javnosti niso na mestu. Čeprav je verjetnost, da bo nekdo danes postal žrtev juice jackinga, razmeroma nizka, saj imajo sodobni telefoni že vgrajene varovalke, ki preprečujejo prav takšne zlorabe, obenem pa so kiberkriminalcem že na voljo bolj zanesljivi in predvsem preizkušeni načini vdiranja v pametne telefone, je za kar največjo varnost smiselno upoštevati katerega od naslednjih nasvetov:

– pametni telefon na javnih mestih polnimo z lastnim polnilcem, ki ga vklopimo v (zidno) električno vtičnico,

– pametni telefon na javnih mestih polnimo s prenosno baterijo oziroma tako imenovanim powerbankom,

– za polnjenje telefona na javnem priključku USB uporabimo lasten kabel, ki je namenjen izključno polnjenju baterije, ne pa tudi prenosu podatkov (tako imenovani kabel charge-only).

– če se ne moremo izogniti polnjenju pametnega telefona na javni polnilnici in nas telefon, ko ga priklopimo na kabel USB, vpraša, kaj želimo storiti, to najverjetneje ni samo polnilna postaja, zato polnjenje prekinemo,

– pred polnjenjem pametnega telefona na javni polnilni postaji se prepričamo, da nimamo omogočene nastavitve za samodejno deljenje podatkov, takoj ko pametni telefon zazna, da je s kablom USB povezan z drugo napravo (ta parameter je pri sodobnih pametnih telefonih praviloma onemogočen, se ga pa da omogočiti v naprednih nastavitvah).

