Bei Reisen am 1. Mai rate ich Ihnen, die kostenlosen Ladekabel an Flughäfen und Bahnhöfen nicht zu nutzen.

Wo wirst du während der Maifeiertage spielen?

Nachdem Sie den ganzen Tag Filme eingetippt und herausgenommen haben, ist der Akku des Mobiltelefons bald erschöpft. Zu diesem Zeitpunkt können öffentliche Ladestationen in Flughäfen, Bahnhöfen oder Einkaufszentren möglicherweise den dringenden Bedarf decken: Stecken Sie das USB-Kabel in das Mobiltelefon, und sowohl die Person als auch das Mobiltelefon scheinen aufgeladen zu sein.

Doch hinter diesen öffentlichen Ladestationen könnte Betrug stecken!

Hierbei handelt es sich um eine Falle namens „Juice Jacking“ , die es seit den Anfängen der Smartphones gibt und die auch auf der heimischen 315-Party aufgedeckt wurde. Vereinfacht gesagt ist die Hardware des geknackten Mobiltelefons als Ladegerät getarnt. Sobald das Telefon an die Stromversorgung angeschlossen wird, können die Daten und Fotos im Telefon gestohlen werden.

Vor mehr als zehn Jahren, als die Juice Jacking-Falle zum ersten Mal auftauchte, hatten Hersteller von Mobiltelefonsystemen wie Google und Apple dieses Problem bereits entdeckt und Maßnahmen wie die USB-Verbindungsauthentifizierung zu seinem Schutz eingeführt. Wenn ein externes Gerät auf die Dateien auf dem Telefon zugreifen möchte, wird eine Erinnerung angezeigt. Sie müssen es gesehen haben:

Solange Sie „Nicht zulässig“ auswählen, können diese Schadprogramme derzeit das Sicherheitssystem des Telefons nicht umgehen – aber unerwarteterweise feiert nach zehn Jahren eine aktualisierte Version von Juice Jacking ein Comeback. Laut Ars Technica heißt dieser neue Betrug Choice Jacking.

Wie der Name schon sagt, dient es dazu, diese zuvor erwähnte Sicherheitsoption zu umgehen.

Um Juice Jacking zu verhindern, haben Hersteller einen Bestätigungsmechanismus für die USB-Verbindung von Mobiltelefonen eingerichtet:

Ein Gerät kann nicht gleichzeitig als Host (z. B. ein Computer) und als Peripheriegerät (z. B. ein Mobiltelefon oder eine Tastatur) fungieren. Das andere Ende des USB-Anschlusses wird entweder als Peripheriegerät des Mobiltelefons (Tastatur, USB-Stick) oder als Host (Computer) verwendet. Es kann nicht gleichzeitig als Host und Peripheriegerät verwendet werden.

Wenn ein USB-Gerät an ein Mobiltelefon angeschlossen ist, kann die Verbindungsauthentifizierung nur über die Schaltfläche „Zulassen“ am Mobiltelefon durchgeführt werden.

Die Methode von Choice Jacking, Sicherheitsmaßnahmen zu durchbrechen, ist sehr „clever“: Zuerst den bösartigen Host als „Peripheriegerät“ tarnen und dann das „Peripheriegerät“ in einen „Host“ verwandeln – so funktioniert es:

1. Wenn ein Benutzer eine Verbindung zu einem böswilligen Host herstellt, der als Ladegerät getarnt ist, tarnt sich dieser zunächst als „USB-Tastatur“ und sendet Tastenbefehle an das Telefon, beispielsweise das Öffnen einer Bluetooth-Verbindung.
2. Dann steuert diese „USB-Tastatur“ das Telefon, um es mit einer „Bluetooth-Tastatur“ zu koppeln – diese „Bluetooth-Tastatur“ wird tatsächlich vom böswilligen Host getarnt.
3. Als nächstes tarnt sich der böswillige Host als „Host“ und initiiert eine Datenanfrage an das Mobiltelefon. Zu diesem Zeitpunkt wird das Mobiltelefon zum „Peripheriegerät“ und auf dem Mobiltelefon wird eine Aufforderung zur Autorisierung des Datenzugriffs angezeigt.
4. Klicken Sie abschließend auf dem Telefon über die „Bluetooth-Tastatur“ auf die Schaltfläche „Zustimmen“, um die Autorisierung durchzuführen. Auf diese Weise wird der böswillige Host mit dem Telefon verbunden und erhält Zugriff auf die gesamten Daten des Telefons.

Hierbei handelt es sich um einen strukturellen Fehler im USB-Verbindungsmechanismus des Telefons und nicht um eine Code-Schwachstelle. Aus diesem Grund ist dieser Betrug so universell, dass sowohl iOS als auch Android von dieser Angriffsmethode angegriffen werden können.

Mehr als ein Dutzend Mobiltelefone verschiedener Marken, darunter Apple, Google, Samsung und Xiaomi, können durch Choice Jacking angegriffen werden. Mit Ausnahme von Apple-Geräten, die 23 Sekunden benötigen, werden andere Android-Geräte in weniger als ein paar Sekunden angegriffen. Interessanterweise unterstützen einige Mobiltelefone nicht das vollständige PD-Protokoll, sie spielen jedoch eine gewisse Schutzfunktion und verringern das Risiko, durch die Choice Jacking-Technologie gehackt zu werden.

Viele Menschen erkennen die Risiken, die hinter dem Anschluss eines mysteriösen USB-Kabels an ihr Mobiltelefon stecken, aber wenn es als kostenloser Ladeanschluss verpackt ist, werden viele Menschen, mich eingeschlossen, möglicherweise nicht zögern, es zu verwenden, wenn der Akku ihres Mobiltelefons fast leer ist.

Und viele normale Benutzer verstehen möglicherweise nicht ganz die Bedeutung des Popup-Fensters „USB-Berechtigungen“, das plötzlich auf ihren Mobiltelefonen erscheint. Sie denken, dass sie nur der Verbindung mit dem Ladekabel zustimmen, also schließen sie aktiv die Verteidigungslinie.

Die Hersteller haben tatsächlich rechtzeitig reagiert. Das im November letzten Jahres veröffentlichte Android 15-Update und die im letzten Monat aktualisierte iOS/iPadOS 18.4-Version verfügen über aktualisierte relevante Mechanismen und wurden auf Funktionsfähigkeit getestet.

Aufgrund der Fragmentierung des Android-Ökosystems erhalten viele alte Geräte jedoch möglicherweise nicht rechtzeitig relevante Updates, und Android-Benutzeroberflächen von Drittanbietern, wie z. B. Samsungs One UI 7, übernehmen den neuen USB-Verifizierungsmechanismus nicht, selbst wenn sie Android 15 verwenden, und sind immer noch anfällig für Choice Jacking-Angriffe.

Florian Draschbacher, der Entdecker der Schwachstelle, sagte außerdem, dass die Verbesserungs- und Reparaturfortschritte der entsprechenden Mechanismen überraschend langsam seien, obwohl die Gerätehersteller bereits vor einem Jahr gewarnt worden seien und die Existenz dieses Problems anerkannt hätten. Der mögliche Grund liegt darin, dass für eine weitere Erhöhung der Sicherheit des USB-Zugriffs auf Mobiltelefone eine Vielzahl von Verifizierungsmaßnahmen hinzugefügt werden müssen, die sich erheblich auf das Benutzererlebnis auswirken, sodass die Hersteller zurückhaltend sind.

In einem offeneren Android-Ökosystem können Angriffe über USB schädlicher sein. Denn wenn der „USB-Debugging“-Modus auf dem Android-Gerät aktiviert ist, kann Choice Jacking tiefere Berechtigungen auf dem Telefon erlangen und einige schädliche zugrunde liegende Dateien ausführen. Allerdings ist der Einstieg in diese Funktion relativ tief und die meisten Geräte sind standardmäßig ausgeschaltet.

Was die Sicherheitsfrage beim Choice Jacking angeht, also „neuer Wein in einer alten Flasche“, ist die Haltung der Öffentlichkeit nicht mehr so ​​„alles vorsichtig“ wie damals, als Smartphones vor zehn Jahren zum ersten Mal genutzt wurden.

Viele Leute spotteten sogar darüber und dachten, es handele sich nur um eine „heulende Wölfe“-Geschichte: Die Gefahren von Juice Jacking und öffentlichem WLAN wurden damals ebenfalls hochgejubelt, aber in Wirklichkeit richteten sie keinen großen Schaden an.

Es gibt auch eine Art „Kapitulationismus“, der darin besteht, auf den Tigerberg zu gehen, obwohl man weiß, dass es dort Tiger gibt. Auch wenn Sie wissen, dass öffentliche Ladestationen riskant sein können, halten Sie das aktuelle Problem des Handy-Akkus für wichtiger. Darüber hinaus haben Sie das Gefühl, dass in normalen Zeiten häufig persönliche Daten preisgegeben werden, und dieses Mal ist es nicht weniger wichtig.

Obwohl es sich bei Choice Jacking um eine sehr neue Angriffsmethode handelt, gibt es keine Berichte über große tatsächliche Verluste, die durch Choice Jacking verursacht wurden. Dies bedeutet jedoch nicht, dass die dahinter stehenden Risiken und Bedrohungen nicht bestehen.

Am sichersten ist es, auf Reisen die eigene Powerbank oder eine gemeinsame Powerbank einer großen Marke zu nutzen. Auch wenn eine öffentliche Stromversorgung vorhanden ist, verwenden Sie am besten Ihren eigenen Ladestecker und nicht die verdächtig aussehenden USB-Ladekabel.

Darüber hinaus gibt es noch einige weitere Tipps, um zu verhindern, dass Ihr Telefon über USB gesteuert wird:

• Durch das Festlegen unterschiedlicher Passwörter für Ihr Mobiltelefon und Ihr E-Wallet können manche Personen mit Hintergedanken effektiv blockiert werden. Bei Online-Shopping-Plattformen wie Taobao und Pinduoduo ist es am besten, die „passwortfreie Zahlung“ zu deaktivieren. Auf jeden Fall sind die aktuellen Methoden zur Gesichts- oder Fingerabdrucküberprüfung sehr praktisch.
• Wenn Sie ein iPhone-Benutzer sind, wird dringend empfohlen, auf iOS 18.4 zu aktualisieren. Diese Version stärkt den Benutzerverifizierungsmechanismus für USB-Zubehörverbindungen, wodurch das Eindringen von Choice Jacking wirksam verhindert werden kann.
• Heutige Smartphones müssen grundsätzlich verifiziert werden, bevor sie USB zur Datenübertragung nutzen können. Wenn Sie beim Benutzen des Telefons daran erinnert werden, dies zu überprüfen, oder das entsprechende Bestätigungsfenster blinkt, müssen Sie möglicherweise auf das andere Ende des USB-Kabels achten, ob es etwas Kleines tut.
• Viele Android-Geräte melden „USB-Modus“, wenn sie zum Laden an USB angeschlossen sind. Im Allgemeinen kann es auf „Nur Laden“ eingestellt werden und nicht auf „Dateien übertragen“, „Fotos übertragen“ oder „USB-Debugging-Modus“ klicken.

Natürlich brauchen wir darüber nicht zu sehr in Panik zu verfallen. Wir können diese Sicherheitsfallen vermeiden, indem wir das Mobiltelefonsystem normal aktualisieren, die Verwendung verdächtiger USB-Kabel vermeiden und unerklärlichen USB-Berechtigungen nicht leichtfertig zustimmen.

Abschließend wünsche ich Ihnen einen schönen Maifeiertag und schöne Feiertage!

# Willkommen beim offiziellen öffentlichen WeChat-Konto von aifaner: aifaner (WeChat-ID: ifanr). Weitere spannende Inhalte werden Ihnen so schnell wie möglich zur Verfügung gestellt.

Ai Faner | Ursprünglicher Link · Kommentare anzeigen · Sina Weibo