„Juicejacking“: Öffentliche Ladestationen als Cyber-Risiko

Juicejacking, ein Begriff, der Anfang der 2010er-Jahre entstand, ist wieder im Gespräch. Es beschreibt eine Art von Cyberangriff, bei dem Kriminelle öffentliche USB-Ladeports manipulieren, um Malware oder Überwachungssoftware auf angeschlossene Geräte zu laden. Juicejacking-Kriminelle sind besonders an Orten wie Flughäfen und Bahnhöfen aktiv, wo viele Menschen ihr Handy aufladen müssen und es oft nicht praktikabel ist, das eigene Ladegerät zu verwenden.

Die meisten Smartphones werden über USB-Kabel aufgeladen, die sowohl Strom als auch Daten übertragen können. Wenn jedoch ein unbekannter Computer an der anderen Seite des Ladekabels angeschlossen ist, kann er versuchen, heimlich auf das angeschlossene Gerät zuzugreifen und schädliche Software zu installieren oder Daten zu stehlen. Um diesem Risiko vorzubeugen, haben sowohl Apple als auch Google Sicherheitsabfragen eingeführt, die dem Nutzer mitteilen, wenn ein unbekanntes Gerät versucht, auf das Telefon zuzugreifen, und um Erlaubnis bitten, bevor Daten ausgetauscht werden können.

Trotzdem haben sowohl das FBI als auch die FCC kürzlich davor gewarnt, dass öffentliche USB-Ports weiterhin ein beliebter Angriffspunkt für Juicejacking-Kriminelle sind. Es ist also weiterhin ratsam, das eigene Ladegerät zu verwenden und auf unbekannte USB-Ports zu verzichten, um das Risiko von Cyberangriffen zu minimieren.

Sophos-Experte Paul Ducklin hat kürzlich eine Untersuchung durchgeführt, um herauszufinden, ob diese Sicherheitsabfragen immer noch effektiv sind. Basierend auf dem Anschließen eines iPhones (iOS 16) und eines Google Pixels (Android 13) an einen Mac (macOS 13 Ventura) und einen Windows 11-Laptop (2022H2-Build) stellte Ducklin fest, dass die Abfragen immer noch ihren Zweck erfüllen. Bei der Verbindung mit einem unbekannten Gerät müssen Nutzer nach wie vor aktiv bestätigen, dass sie diesem Gerät vertrauen möchten.

Trotzdem gibt es weitere Schritte, die Smartphone-Besitzer unternehmen können, um ihre Sicherheit zu verbessern. Das Verwenden von Einweg-Ladegeräten oder Powerbanks ist eine Option, um auf Nummer sicher zu gehen. Eine weitere Möglichkeit besteht darin, die Einstellungen des Smartphones so zu konfigurieren, dass es nur über USB aufgeladen werden kann, ohne Daten zu übertragen.

Praxistipps

Wer ganz auf Nummer sicher gehen möchte, sollte auf folgende Dinge achten:

Zunächst einmal ist es ratsam, unbekannte Ladestecker oder -kabel zu vermeiden. Selbst wenn die Ladestation in gutem Glauben eingerichtet wurde, kann es sein, dass sie nicht die gewünschte elektrische Qualität und Spannungsregelung aufweist. Auch billige Netzladegeräte sollten vermieden werden, da sie möglicherweise nicht den erforderlichen Sicherheitsstandards entsprechen.

Es ist auch empfehlenswert, Ihr Telefon zu sperren oder auszuschalten, bevor Sie es an öffentliche Ladegeräte oder fremde Computer anschließen. Dadurch wird das Risiko minimiert, dass versehentlich Dateien für bösartige Aktivitäten freigegeben werden. Darüber hinaus stellen Sie sicher, dass das Gerät gesperrt ist, falls es an einer Ladestation für mehrere Benutzer gestohlen wird.

Besitzer eines iPhones sollten in Betracht ziehen, grundsätzlich allen Geräten nicht zu vertrauen. Dies stellt sicher, dass keine ehemals vertrauenswürdigen Geräte vergessen werden, die möglicherweise auf früheren Reisen eingerichtet wurden.

Ein weiterer Schutzmechanismus ist die Anschaffung eines Power-only-USB-Kabels oder einer Adapterbuchse. Diese sogenannten „datenlosen“ USB-A-Stecker sind leicht zu erkennen, da sie nur zwei metallische elektrische Anschlüsse an den Außenkanten der Buchse haben, anstatt vier Anschlüsse über die Breite. Es ist jedoch wichtig zu beachten, dass die inneren Anschlüsse nicht immer sofort sichtbar sind, da sie nicht bis zum Rand der Buchse reichen. Daher stellen die Stromanschlüsse zuerst Kontakt her.

Indem Sie diese einfachen Vorsichtsmaßnahmen befolgen, können Sie sicherstellen, dass Ihr Gerät vor potenziellen Sicherheitsbedrohungen geschützt ist, während es aufgeladen wird oder Daten überträgt.