Quanto è pericolosa la ricarica degli smartphone nelle stazioni pubbliche?
Sophos Cybersecurity, IT-Security, Smartphone
Servizi professionali per la sicurezza dei dati
L'FBI e la FCC hanno recentemente avvertito che i criminali utilizzano le porte USB pubbliche per installare malware e dispositivi di sorveglianza sui dispositivi. L'esperto di Sophos Paul Ducklin ha testato diversi smartphone e offre consigli su come stare al sicuro.
Se non avete mai sentito la parola d'ordine della cybersicurezza "juicejacking", non fatevi prendere dal panico. Il termine ha preso piede all'inizio degli anni 2010, ma continua a svolgere un ruolo nella vita quotidiana degli smartphone e i suoi continui avvertimenti hanno recentemente attirato una nuova e sorprendente attenzione, anche da parte dell'FBI. Innanzitutto, iniziamo con una breve spiegazione del concetto: le persone in viaggio, soprattutto negli aeroporti dove i caricabatterie dei telefoni sono nascosti nel bagaglio a mano o già bloccati nella stiva di un aereo, spesso si preoccupano di caricare la batteria. Lo spettro della batteria scarica, che ci perseguita dall'avvento dei telefoni cellulari, continua a perseguitare il mondo degli smartphone e, nonostante gli adattatori di corrente e simili, le persone colgono ogni occasione per ricaricare la batteria, soprattutto quando sono in viaggio, nel caso in cui non ci sia la possibilità di farlo nel prossimo futuro.
Che cosa succede alle vostre spalle? Cosa succede alle spalle
È qui che entrano in gioco i criminali del juicehacking. Gli smartphone vengono solitamente ricaricati tramite un cavo USB appositamente progettato per il trasferimento di energia e dati. Cosa succede se dall'altra parte della stazione di ricarica c'è un computer che non solo eroga 5 volt di corrente continua, ma cerca anche di interagire con il telefono alle vostre spalle? La risposta è semplice: non si può essere sicuri. Per questo motivo, sia Apple che Google hanno da tempo implementato impostazioni predefinite che eliminano l'elemento sorpresa, visualizzando una richiesta di sicurezza quando ci si connette a un dispositivo sconosciuto e chiedendo se ci si deve fidare. A parte il fatto che un utente può comunque essere indotto a fidarsi di un nuovo dispositivo, è teoricamente impossibile entrare in possesso di dati all'insaputa del proprietario, a meno che non sia lui stesso ad agire.
Visti i recenti avvertimenti dell'FBI e della FCC, è quindi sorprendente che i criminali utilizzino le porte USB pubbliche per infiltrare malware e software di sorveglianza nei dispositivi. A scanso di equivoci, è consigliabile utilizzare il proprio caricabatterie se possibile e non affidarsi a cavi o porte USB sconosciuti. Anche solo perché nessuno può sapere quanto sia sicuro e affidabile il convertitore di tensione nel circuito di ricarica.
Quanto sono sicuri i dati?
Ma che dire del rischio che le informazioni private vengano risucchiate surrettiziamente da un caricabatterie che funge da computer host e cerca di controllare un dispositivo collegato senza autorizzazione? I miglioramenti di sicurezza introdotti dopo il juicejacking di Mactans nel 2011 sono ancora validi?
L'esperto di Sophos Paul Ducklin ha effettuato un test e, sulla base della connessione di un iPhone (iOS 16) e di un Google Pixel (Android 13) a un Mac (macOS 13 Ventura) e a un laptop Windows 11 (build 2022H2), conclude che sì, le richieste servono ancora allo scopo. Innanzitutto, nessun telefono si connette automaticamente a macOS o Windows alla prima connessione, indipendentemente dal fatto che sia bloccato o sbloccato. Inoltre, un pop-up di conferma indica chiaramente che un dispositivo di terze parti desidera l'accesso, che deve essere confermato attivamente.
Tuttavia, poiché il diavolo si nasconde nei dettagli, i possessori di smartphone possono andare sul sicuro nonostante queste barriere di sicurezza.
Ecco a cosa dovete prestare attenzione:
-
Se possibile, evitate di collegare spine o cavi di ricarica sconosciuti. Anche una stazione di ricarica ben configurata potrebbe non fornire la qualità dell'alimentazione e la regolazione della tensione desiderate. Evitate anche i caricatori da parete economici o la ricarica dal vostro portatile.
-
Bloccate o spegnete il telefono prima di collegarlo a un caricatore pubblico o al computer di qualcun altro. In questo modo si riduce al minimo il rischio di esporre accidentalmente i file attivi in modo malevolo. In questo modo si garantisce anche che il dispositivo sia bloccato in caso di furto da una stazione di ricarica multiutente.
-
Se possedete un iPhone, potreste non fidarvi di tutti i dispositivi. In questo modo si garantisce che i dispositivi precedentemente fidati, che potrebbero essere stati impostati per sbaglio in un viaggio precedente, non vengano dimenticati.
- Considerate l'acquisto di un cavo USB o di un adattatore per la sola alimentazione. Le spine USB-A senza dati sono facili da individuare perché hanno solo due connettori elettrici metallici all'interno dell'involucro sui bordi esterni della presa, invece di quattro su tutta la larghezza. I connettori interni non sono sempre immediatamente visibili perché non si estendono fino al bordo della presa, quindi i connettori di alimentazione entrano in contatto per primi.