Home » News » „Juicejacking“: Öffentliche Ladestationen als Cyber-Risiko

„Juicejacking“: Öffentliche Ladestationen als Cyber-Risiko

Laut einer Warnung von FBI und FCC besteht die Gefahr, dass Kriminelle USB-Ports öffentliche an öffentlichen Ladestationen nutzen, um Schadsoftware und Überwachungssoftware auf Smartphones zu übertragen. Der IT-Sicherheitsexperte Paul Ducklin von Sophos hat in einer Untersuchung die Sicherheit von verschiedenen Smartphones beim Laden an öffentlichen Stationen getestet und gibt Empfehlungen zum Schutz.

·

Redaktion Secupedia (jm)

3 Min. Lesezeit
Smartphone laden
Foto: ©AdobeStock/LariBat

Juicejacking, ein Begriff, der Anfang der 2010er-Jahre entstand, ist wieder im Gespräch. Es beschreibt eine Art von Cyberangriff, bei dem Kriminelle öffentliche USB-Ladeports manipulieren, um Malware oder Überwachungssoftware auf angeschlossene Geräte zu laden. Juicejacking-Kriminelle sind besonders an Orten wie Flughäfen und Bahnhöfen aktiv, wo viele Menschen ihr Handy aufladen müssen und es oft nicht praktikabel ist, das eigene Ladegerät zu verwenden.

Die meisten Smartphones werden über USB-Kabel aufgeladen, die sowohl Strom als auch Daten übertragen können. Wenn jedoch ein unbekannter Computer an der anderen Seite des Ladekabels angeschlossen ist, kann er versuchen, heimlich auf das angeschlossene Gerät zuzugreifen und schädliche Software zu installieren oder Daten zu stehlen. Um diesem Risiko vorzubeugen, haben sowohl Apple als auch Google Sicherheitsabfragen eingeführt, die dem Nutzer mitteilen, wenn ein unbekanntes Gerät versucht, auf das Telefon zuzugreifen, und um Erlaubnis bitten, bevor Daten ausgetauscht werden können.

Trotzdem haben sowohl das FBI als auch die FCC kürzlich davor gewarnt, dass öffentliche USB-Ports weiterhin ein beliebter Angriffspunkt für Juicejacking-Kriminelle sind. Es ist also weiterhin ratsam, das eigene Ladegerät zu verwenden und auf unbekannte USB-Ports zu verzichten, um das Risiko von Cyberangriffen zu minimieren.

Sophos-Experte Paul Ducklin hat kürzlich eine Untersuchung durchgeführt, um herauszufinden, ob diese Sicherheitsabfragen immer noch effektiv sind. Basierend auf dem Anschließen eines iPhones (iOS 16) und eines Google Pixels (Android 13) an einen Mac (macOS 13 Ventura) und einen Windows 11-Laptop (2022H2-Build) stellte Ducklin fest, dass die Abfragen immer noch ihren Zweck erfüllen. Bei der Verbindung mit einem unbekannten Gerät müssen Nutzer nach wie vor aktiv bestätigen, dass sie diesem Gerät vertrauen möchten.

Trotzdem gibt es weitere Schritte, die Smartphone-Besitzer unternehmen können, um ihre Sicherheit zu verbessern. Das Verwenden von Einweg-Ladegeräten oder Powerbanks ist eine Option, um auf Nummer sicher zu gehen. Eine weitere Möglichkeit besteht darin, die Einstellungen des Smartphones so zu konfigurieren, dass es nur über USB aufgeladen werden kann, ohne Daten zu übertragen.

Praxistipps

Wer ganz auf Nummer sicher gehen möchte, sollte auf folgende Dinge achten:

Zunächst einmal ist es ratsam, unbekannte Ladestecker oder -kabel zu vermeiden. Selbst wenn die Ladestation in gutem Glauben eingerichtet wurde, kann es sein, dass sie nicht die gewünschte elektrische Qualität und Spannungsregelung aufweist. Auch billige Netzladegeräte sollten vermieden werden, da sie möglicherweise nicht den erforderlichen Sicherheitsstandards entsprechen.

Es ist auch empfehlenswert, Ihr Telefon zu sperren oder auszuschalten, bevor Sie es an öffentliche Ladegeräte oder fremde Computer anschließen. Dadurch wird das Risiko minimiert, dass versehentlich Dateien für bösartige Aktivitäten freigegeben werden. Darüber hinaus stellen Sie sicher, dass das Gerät gesperrt ist, falls es an einer Ladestation für mehrere Benutzer gestohlen wird.

Besitzer eines iPhones sollten in Betracht ziehen, grundsätzlich allen Geräten nicht zu vertrauen. Dies stellt sicher, dass keine ehemals vertrauenswürdigen Geräte vergessen werden, die möglicherweise auf früheren Reisen eingerichtet wurden.

Ein weiterer Schutzmechanismus ist die Anschaffung eines Power-only-USB-Kabels oder einer Adapterbuchse. Diese sogenannten „datenlosen“ USB-A-Stecker sind leicht zu erkennen, da sie nur zwei metallische elektrische Anschlüsse an den Außenkanten der Buchse haben, anstatt vier Anschlüsse über die Breite. Es ist jedoch wichtig zu beachten, dass die inneren Anschlüsse nicht immer sofort sichtbar sind, da sie nicht bis zum Rand der Buchse reichen. Daher stellen die Stromanschlüsse zuerst Kontakt her.

Indem Sie diese einfachen Vorsichtsmaßnahmen befolgen, können Sie sicherstellen, dass Ihr Gerät vor potenziellen Sicherheitsbedrohungen geschützt ist, während es aufgeladen wird oder Daten überträgt.

Andere interessante News

Funkmast

GroupAlarm erhält wichtige Zertifizierungen, darunter ISO 27001

Die Alarmierungssoftware GroupAlarm hat wichtige Sicherheitsprüfungen bestanden. Sie erfüllt die Mindestanforderungen des BSI aus dem Cloud Computing Compliance Criteria Catalogue (C5), ist gemäß den Service Organization Control 2 (SOC 2 Controls) zertifiziert und entspricht der internationalen Norm ISO/IEC 27001:2013. Die Zertifizierungen wurden von unabhängigen Prüfungsstellen wie dem TÜV Rheinland und der Wirtschaftsprüfungsgesellschaft HKKG aus Köln durchgeführt.

Perimeterschutz
Bundesamt für Verfassungsschutz

Dr. Silke Willems als neue Vizepräsidentin des Bundesamts für Verfassungsschutz vorgeschlagen

In einer wichtigen Personalentscheidung hat Bundesinnenministerin Nancy Faeser angekündigt, Dr. Silke Willems als Vizepräsidentin des Bundesamts für Verfassungsschutz (BfV) vorzuschlagen. Diese Ernennung wird notwendig, nachdem die bisherige Vizepräsidentin Dr. Felor Badenberg zur Justizsenatorin des Landes Berlin berufen wurde.

News
ATP

Warum APT-Angriffe auf Unternehmen so erfolgreich sind

Menschliche Fehler, unzureichende Sicherheitsmaßnahmen für OT-Netzwerke sowie Probleme mit Updates und der Konfiguration von Cybersicherheitslösungen ermöglichen erfolgreiche Operationen von Advanced Persistent Threats (APT) in Industrieunternehmensnetzwerken. Um Unternehmen bei der Abwehr dieser Bedrohungen zu unterstützen und sicherzustellen, dass bewährte Verfahren umgesetzt werden, hat das Expertenteam des Kaspersky ICS CERT eine Liste der häufigsten Probleme und Gründe für APT-Angriffe zusammengestellt.

Cybersecurity