Juice Jacking

Útok označovaný jako Juice Jacking se poměrně nečekaně objevil v médiích, a to i mainstreamových. Vyplul na povrch jako olej na vodní hladinu. Co za tím je?

Zveřejněno dne: 15. 05. 2023

aricoma avatar
https://www.buzzsprout.com/1710535/12937393-blog-juice-jacking
Audiostory
00:00 00:00

Krátce připomenu, o co se jedná, ale v současnosti jeho popis naleznete na mnoha místech. Juice Jacking je teoretický útok na mobilní telefon nebo tablet, který je připojen k veřejné nabíjecí stanici (v obchodním centru, na letišti apod.). Útok využívá toho, že tato zařízení dnes využívají pro nabíjení „univerzální kablík“, který slouží i pro datový přenos. Zařízení, které připojí uživatel k takové nabíječce, může tak být jejím prostřednictvím infikováno škodlivým kódem.

Tento útok je znám již poměrně dlouho, poprvé byl demonstrován v roce 2011 na hackerské konferenci DEFCON v Las Vegas a útok popularizoval ve svých článcích publicista Brian Krebs. Jako zajímavost je vhodné uvést, že tento útok byl námětem i jednoho dílu populárního (a ve svých variantách nekonečného) seriálu Kriminálka, oddělení kyberbezpečnosti (v originále CSI:Cyber) natočeného v roce 2015. Mimochodem seriál samotný, ač obsahuje spoustu nesmyslů (no jo, on tam musí do 50 minut nacpat scénárista i automobilovou honičku, přestřelku a nějaké výbuchy), je sám o sobě i poměrně edukativní, protože každý díl svým způsobem popisoval jeden možný způsob útoku.

Luděk Mandok
Senior Security Consultant

Proč je tento útok znovu medializován?

Pravděpodobně proto, že se v dubnu 2023 objevily tweety Federálního úřadu pro vyšetřování a Federální komise pro komunikace týkající se tohoto útoku. Dne 6. dubna 2023 pak vydala kancelář FBI v Denveru na Twitteru varování: "Vyhněte se používání bezplatných nabíjecích stanic na letištích, v hotelech nebo nákupních centrech. Kyberzločinci přišli na způsoby, jak využít veřejné USB porty k zavedení škodlivého kódu a monitorovacího softwaru do zařízení. Noste si vlastní nabíječku a kabel USB a místo toho použijte elektrickou zásuvku.“

Proč se objevilo toto varování?

Můžeme spekulovat, nicméně dlouho byl tento útok spíše teoretický, nicméně vývoj technologií se opět posunul, a nyní tak existuje několik produktů, které si každý může koupit a které jsou přizpůsobeny tak, aby umožňovaly tyto útoky. Pravděpodobně nejznámějším příkladem je „OMG cable“, hackerské zařízení za 180 USD vyrobené pro profesionální penetrační testery, které vypadá víceméně jako nabíjecí kabel Apple nebo generický USB kabel. Uvnitř „OMG cable“ kablíku je ale malý paměťový čip a Wi-Fi vysílač, který vytváří Wi-Fi hotspot, ke kterému se útočník může vzdáleně připojit pomocí aplikace pro chytré telefony a spouštět příkazy na zařízení.

Pravděpodobnost útoku je tedy asi vyšší…

Školte tedy své zaměstnance ohledně informační bezpečnosti, nechráníte tím jenom jejich osobní život, ale i své vlastní informační systémy a byznys. Pokuste se změnit jejich myšlení a chování, vůči informacím a informačním systémům. Pokud si nejste jisti, jestli je Váš systém vzdělávání účinný, klidně nás kontaktujte. Nevíte-li jak a kde začít, klidně se na nás obraťte. Rádi Vám poradíme a jak se říká za zeptání, nic nedáte :-) ARICOMA ví jak.

Sdílejte

NEVÁHEJTE, KONTAKTUJTE NÁS.

Máte zájem o další informace nebo o nabídku pro vaši konkrétní situaci?

Odesláním registračního formuláře prohlašuji, že jsem se seznámil s informacemi o zpracování osobních údajů v ARICOMA.

BUĎTE U TOHO

Přihlaste se k odběru našich newsletterů, ať vám nic neuteče.

Vložením e-mailu souhlasíte s podmínkami ochrany osobních údajů.