Tutti abbiamo bisogno di essere sempre connessi, e la batteria dello smartphone non basta mai, soprattutto quando si è in viaggio o lontano da casa. Ma attenzione a dove ricarichi i tuoi gingilli elettronici. Perché quelle pratiche stazione di ricarica presenti in aeroporti, nei centri commerciali, sui treni o sugli aerei stanno rapidamente diventando uno dei veicoli principali di diffusione di virus e malware su iPhone e Android. Ecco cos’è il Juice Jacking e perché l’FBI ha lanciato l’allarme.
Cos’è il Juice Jacking?
Oramai le stazioni di ricarica USB sono presenti ovunque, e la tentazione di collegare il telefonino è irresistibile. Ma bisogna essere consapevoli dei rischi e conoscere cos’è il Juice Jacking.
Il Juice Jacking è una forma di attacco informatico che sfrutta le porte USB delle stazioni di ricarica pubbliche per trasferire dati malevoli o rubare informazioni personali dai dispositivi collegati. Il termine è stato coniato nel 2011 da un gruppo di ricercatori che ha dimostrato come fosse possibile infettare uno smartphone con un malware semplicemente collegandolo a una presa USB modificata.
Come funziona il Juice Jacking?
Le porte USB hanno due funzioni principali: trasmettere energia elettrica e scambiare dati. Quando colleghi il tuo smartphone a una stazione di ricarica pubblica, non sai se la porta USB è stata alterata o meno. Se lo è, potrebbe avviare una comunicazione non autorizzata con il tuo dispositivo e inviare o ricevere dati senza il tuo consenso. Potrebbe per esempio installare un malware che monitora le tue attività online, ruba le tue password, i tuoi contatti, le tue foto, i tuoi messaggi o i tuoi dati bancari. Oppure potrebbe clonare il tuo dispositivo e accedere ai tuoi account online.
Perché l’FBI ha lanciato l’allarme?
Il 6 aprile sorso, l’ufficio di Denver dell’FBI ha emesso un avvertimento sul Juice Jacking in un tweet. L’agenzia federale ha spiegato che gli hacker possono sfruttare le stazioni di ricarica pubbliche per compromettere i dispositivi dei viaggiatori e accedere ai loro dati sensibili:
“Evita di usare stazioni di ricarica gratuite in aeroporti, hotel o centri commerciali”, scrive l’FBI. “I cybercriminali hanno trovato modi per utilizzare le porte USB pubbliche per introdurre malware e software di monitoraggio sui dispositivi. Portati dietro il tuo caricabatterie e il tuo cavo USB e usa invece una presa elettrica.”
Pochi giorni dopo, anche la Federal Communications Commission ha emesso un avvertimento simile. “Pensaci due volte prima di utilizzare le stazioni di ricarica pubbliche”, ha ammoniato la FCC. “Gli hacker potrebbero essere in attesa di accedere alle tue informazioni personali installando malware e software di monitoraggio sui tuoi dispositivi. Questa truffa è indicata come Juice Jacking.”
Negli anni, Apple, Google e gli altri produttori di dispositivi mobili hanno modificato il funzionamento del loro hardware e software in modo che i loro dispositivi non sincronizzino più automaticamente i dati quando li si collega a un computer con un cavo di ricarica USB. È il famoso messaggio che compare alla connessione e che chiede di autorizzare il trasferimento dati: se non è il tuo computer, nega sempre il consenso.
Purtroppo però, non sempre i meccanismi di sicurezza dei produttori bastano, e la verità è che il Juice Jacking è diventata una tecnica molto più accessibile ed economica, anche grazie a dispositivi sempre più piccoli che stanno nascosti in un cavo.
“Collegare una porta USB pubblica è un po’ come trovare uno spazzolino da denti sul ciglio della strada e decidere di metterselo in bocca. Non hai idea di dove sia stata quella cosa.”
Caleb Barlow, vicepresidente di X-Force Threat Intelligence per IBM Security.
“La tecnologia e i componenti sono diventati molto più piccoli e molto facili da costruire,” spiega Brian Markus, co-fondatore di Aries Security e uno dei ricercatori che per primo ha smascherato questo tipo di minacce al DEFCON 2011. “Inoltre, ora puoi comprare tutta questa roba ovunque. Penso che il rischio sia forse più alto ora di quanto non fosse un decennio fa, perché molte più persone potrebbero mettere su un sistema simile in poco tempo.”
Come Proteggersi
L’FBI ha fornito alcuni consigli per prevenire questo tipo di attacco. Ecco come regolarsi per evitare rogne:
- Usare solo prese di corrente e non porte USB per ricaricare i dispositivi.
- Portati sempre dietro un caricabatterie portatile o un powerbank.
- Se vuoi usare prese USB pubbliche, usa un adattatore USB che blocchi la trasmissione dei dati. Su Amazon ne trovi diversi con prezzi attorno ai 10€, come ad esempio il PortaPow o il Kit da 3 adattatori Ruxely.
- Spegni il dispositivo prima di collegarlo a una porta USB sospetta.
- Non lasciare il dispositivo incustodito durante la ricarica.
- Aggiorna regolarmente il sistema operativo e le applicazioni del tuo dispositivo.
- (Solo per Android) Installa un antivirus e un firewall sul tuo dispositivo
- Evitare di collegare il tuo dispositivo a computer o dispositivi sconosciuti.
- Abilita la protezione con codice PIN, impronta digitale o riconoscimento facciale sul tuo dispositivo.
- Cripta i dati sensibili sul tuo dispositivo.
- Effettua il backup dei dati importanti su una memoria esterna o su un servizio cloud.
Il Juice Jacking è un fenomeno in crescita che mette a rischio la sicurezza e la privacy dei viaggiatori. Per evitare brutte sorprese, è meglio essere sempre cauti e diffidenti -anzi paranoici- quando c’è da ricaricare i tuoi dispositivi elettronici in luoghi pubblici. Ricorda: la batteria si può sempre ricaricare, ma i dati rubati no.