Juice Jacking

Krátce připomenu, o co se jedná, ale v současnosti jeho popis naleznete na mnoha místech. Juice Jacking je teoretický útok na mobilní telefon nebo tablet, který je připojen k veřejné nabíjecí stanici (v obchodním centru, na letišti apod.). Útok využívá toho, že tato zařízení dnes využívají pro nabíjení „univerzální kablík“, který slouží i pro datový přenos. Zařízení, které připojí uživatel k takové nabíječce, může tak být jejím prostřednictvím infikováno škodlivým kódem.

Tento útok je znám již poměrně dlouho, poprvé byl demonstrován v roce 2011 na hackerské konferenci DEFCON v Las Vegas a útok popularizoval ve svých článcích publicista Brian Krebs. Jako zajímavost je vhodné uvést, že tento útok byl námětem i jednoho dílu populárního (a ve svých variantách nekonečného) seriálu Kriminálka, oddělení kyberbezpečnosti (v originále CSI:Cyber) natočeného v roce 2015. Mimochodem seriál samotný, ač obsahuje spoustu nesmyslů (no jo, on tam musí do 50 minut nacpat scénárista i automobilovou honičku, přestřelku a nějaké výbuchy), je sám o sobě i poměrně edukativní, protože každý díl svým způsobem popisoval jeden možný způsob útoku.

Pravděpodobně proto, že se v dubnu 2023 objevily tweety Federálního úřadu pro vyšetřování a Federální komise pro komunikace týkající se tohoto útoku. Dne 6. dubna 2023 pak vydala kancelář FBI v Denveru na Twitteru varování: "Vyhněte se používání bezplatných nabíjecích stanic na letištích, v hotelech nebo nákupních centrech. Kyberzločinci přišli na způsoby, jak využít veřejné USB porty k zavedení škodlivého kódu a monitorovacího softwaru do zařízení. Noste si vlastní nabíječku a kabel USB a místo toho použijte elektrickou zásuvku.“

Můžeme spekulovat, nicméně dlouho byl tento útok spíše teoretický, nicméně vývoj technologií se opět posunul, a nyní tak existuje několik produktů, které si každý může koupit a které jsou přizpůsobeny tak, aby umožňovaly tyto útoky. Pravděpodobně nejznámějším příkladem je „OMG cable“, hackerské zařízení za 180 USD vyrobené pro profesionální penetrační testery, které vypadá víceméně jako nabíjecí kabel Apple nebo generický USB kabel. Uvnitř „OMG cable“ kablíku je ale malý paměťový čip a Wi-Fi vysílač, který vytváří Wi-Fi hotspot, ke kterému se útočník může vzdáleně připojit pomocí aplikace pro chytré telefony a spouštět příkazy na zařízení.

Školte tedy své zaměstnance ohledně informační bezpečnosti, nechráníte tím jenom jejich osobní život, ale i své vlastní informační systémy a byznys. Pokuste se změnit jejich myšlení a chování, vůči informacím a informačním systémům. Pokud si nejste jisti, jestli je Váš systém vzdělávání účinný, klidně nás kontaktujte. Nevíte-li jak a kde začít, klidně se na nás obraťte. Rádi Vám poradíme a jak se říká za zeptání, nic nedáte :-) ARICOMA ví jak.