Juice Jacking: FBI warnt ohne Anlass vor öffentlichen USB-Ladestationen
Angreifer könnten USB-Ladestationen an Flughäfen & Co. kompromittieren, um so Malware auf Smartphones zu schieben. Das ist jedoch nicht wirklich aktuell.
(Bild: Motortion Films/Shutterstock.com)
FBI und FCC warnen derzeit: Wer seine Geräte an öffentlichen USB-Stationen auflädt, geht ein Sicherheitsrisiko ein. Angreifer könnten demnach darüber etwa Smartphones mit einem Trojaner infizieren, um Passwörter auszulesen. Die Meldung soll für die Gefahr sensibilisieren, ist aber veraltet.
Es warnen das Federal Bureau of Investigation (FBI) in einem Tweet und die Federal Communications Commision (FCC) in einem aktuellen Beitrag. Ihnen zufolge könnten Kriminelle USB-Ladestationen mit Schadcode verseuchen, der dann auf angeschlossene Geräte überspringt. Kopieren Angreifer darüber Kennwörter, könnten sie ganze Accounts übernehmen. Solche Attacken nennt man Juice Jacking.
Gegenmaßnahmen
Außerdem warnt die Sicherheitsbehörde vor manipulierten Ladekabeln, die etwa mit Absicht zurückgelassen oder via Promotionen an Opfer verteilt werden. Etwa das O.MG-Elite-Kabel sieht wie ein handelsübliches Lightning-Kabel von Apple aus, beinhaltet aber neben einem Speicherchip auch ein Wi-Fi-Modul zum Erstellen eines Hotspots.
Sie raten aus Sicherheitsgründen zum Einsatz eines eigenen Ladegeräts oder einer Powerbank inklusive Kabel. Zusätzlich empfehlen sie den Einsatz von Ladekabeln, die keine Datenverbindungen unterstützen. Taucht nach dem Anschluss eines Gerätes zum Aufladen des Akkus die Meldungen "Daten austauschen", "Nur laden" auf, sollte man letzteres wählen.
Erneute Sensibilisierung - Lücke so nicht mehr vorhanden
Das FBI gibt als Grund für die erneute Warnung vor Juice-Jacking-Attacken keinen konkreten Anlass an. Sie wollten potenzielle Opfer abermals vor der Gefahr warnen. Brian Krebs berichtet auf seiner Webseite, dass die FCC gegenüber dem Portal Snopes erklärte, "dass die Kommission sicherstellen wollte, dass ihr Ratschlag zum 'Juice-Jacking', der erstmals 2019 herausgegeben und später 2021 aktualisiert wurde, auf dem neuesten Stand ist, um sicherzustellen, dass 'die Verbraucher die aktuellsten Informationen haben'". Der Sprecher fügte dem hinzu, dass die FCC keinen Anstieg der Verbraucherbeschwerden über "Juice-Jacking" festgestellt hätte.
Bereits 2011 demonstrierten Teilnehmer der Hacker-Konferenz Defcon mit einer mobilen USB-Ladestation, wie Angreifer Daten von angeschlossenen Geräten in vielen Fällen automatisch synchronisieren. Diese standardmäßige Daten-Synchronisierung beim Anschluss an den USB-Port eines Computers haben Apple und Google mittlerweile für ihre Geräte deaktiviert. Nun muss man die Vertrauenswürdigkeit erst bestätigen, bevor ein Datenaustausch stattfinden kann.
Brian Krebs konkretisiert: "Seitdem haben Apple, Google und andere Hersteller von Mobilgeräten die Funktionsweise ihrer Hard- und Software so geändert, dass ihre Geräte nicht mehr automatisch Daten synchronisieren, wenn man sie mit einem USB-Ladekabel an einen Computer anschließt. Stattdessen wird der Benutzer gefragt, ob er einem angeschlossenen Computer vertrauen möchte, bevor eine Datenübertragung stattfinden kann."
In der Meldung bereits am Anfang deutlicher herausgestellt, dass die Warnung von FBI und FCC veraltet ist.
(des)
