Português 
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Aqueles avisos assustadores de juice jacking em aeroportos e hotéis? Eles são principalmente um absurdo
Dan Goodin - 1º de maio de 2023 11:00 UTC
Autoridades federais, especialistas em tecnologia e agências de notícias querem que você fique atento a um ataque cibernético assustador que pode invadir seu telefone quando você não faz nada além de conectá-lo a uma estação de carregamento pública. Esses alertas de "juice jacking", como a ameaça passou a ser conhecida, circulam há mais de uma década.
No início deste mês, porém, os temores de juice jacking atingiram um novo patamar quando o FBI e a Comissão Federal de Comunicações emitiram novos avisos infundados que geraram notícias de som ameaçador de centenas de veículos. A NPR informou que o crime está "se tornando mais comum, possivelmente devido ao aumento das viagens". O Washington Post disse que é um "risco significativo à privacidade" que pode identificar páginas da Web carregadas em menos de 10 segundos. A CNN alertou que, apenas conectando-se a um carregador malicioso, "seu dispositivo agora está infectado". E uma manchete da Fortune admoestou os leitores: "Não deixe que uma carga USB grátis esgote sua conta bancária."
O cenário para o juice jacking é mais ou menos assim: um hacker instala equipamentos em um aeroporto, shopping ou hotel. O equipamento imita a aparência e as funções das estações de carregamento normais, que permitem que as pessoas recarreguem seus celulares quando estão com pouca energia. Sem o conhecimento dos usuários, a estação de carregamento envia sub-repticiamente comandos pelo conector USB ou Lightning do cabo de carregamento e rouba contatos e e-mails, instala malware e faz todo tipo de outras coisas nefastas.
“O malware instalado através de uma porta USB corrompida pode bloquear um dispositivo ou exportar dados pessoais e senhas diretamente para o criminoso”, alertou a FCC no início deste mês. "Os criminosos podem então usar essas informações para acessar contas online ou vendê-las a outros criminosos. Em alguns casos, os criminosos podem ter intencionalmente deixado cabos conectados em estações de carregamento. Houve até relatos de cabos infectados sendo dados como brindes promocionais. "
Alguns dias antes, o escritório de campo do FBI em Denver emitiu seu próprio alerta de juice jacking, escrevendo em parte: "Os malfeitores descobriram maneiras de usar portas USB públicas para introduzir malware e software de monitoramento nos dispositivos". Para não ficar atrás, o procurador-geral de Michigan, Dana Nessel, disse que o juice jacking "é mais uma maneira nefasta que os maus atores descobriram que lhes permite roubar e lucrar com o que não lhes pertence".
Ao contrário das comunicações do governo, a grande maioria dos especialistas em segurança cibernética não avisa que o juice jacking é uma ameaça, a menos que você seja alvo de hackers de estado-nação. Não há casos documentados de juice jacking na natureza. O que fica de fora dos avisos é que iPhones e dispositivos Android modernos exigem que os usuários cliquem em um aviso explícito antes de poderem trocar arquivos com um dispositivo conectado por cabos padrão.
"Em um alto nível, se ninguém pode apontar um exemplo real disso acontecendo em espaços públicos, então não é algo que valha a pena enfatizar para o público em geral", disse Mike Grover, pesquisador que projeta ferramentas ofensivas de hacking e faz pesquisa ofensiva de hackers para grandes empresas, disse em entrevista. "Em vez disso, aponta para a viabilidade apenas para situações direcionadas. As pessoas em risco disso, esperançosamente, têm melhores defesas do que um aviso nebuloso."
Ele acrescentou: "Ouvi falar de pessoas que alteram intencionalmente a voltagem de carregadores públicos, mas isso é apenas uma coisa estúpida e maliciosa. Quando se trata de fontes de carga públicas, sinto que um risco maior é a qualidade de energia ruim e conectores danificados."
Existem casos extremos que permitem que teclados - ou dispositivos disfarçados de teclados - insiram comandos que fazem coisas maliciosas quando estão conectados a um dispositivo iPhone e Android. Mas esses ataques devem ser personalizados para cada modelo de telefone diferente conectado. Além disso, essas técnicas têm limitações significativas que as tornam impraticáveis para juice jacking.
Mais sobre esses casos extremos e suas deficiências posteriormente. O resumo é o seguinte: ninguém nos últimos cinco anos demonstrou um ataque de juice jacking viável em um dispositivo executando uma versão moderna do iOS ou Android. Os representantes da Apple não estão cientes de nenhum desses ataques ocorrendo na natureza (os representantes do Google não responderam a vários pedidos de comentários) e também não consegui encontrar nenhum especialista em segurança que soubesse de nenhum. E, como observado anteriormente, não há casos documentados de juice jacking na natureza.