Cos'è il juice jacking e perché sarebbe meglio non usare le porte di ricarica USB pubbliche

A quanti di noi sarà capitato di trovarsi in un luogo pubblico come un aeroporto e avere il telefono scarico? Per fortuna ci sono apposite colonnine per la ricarica tramite presa USB, vero? 

Attenzione però, perché nonostante l'aspetto innocuo potrebbero nascondere una pericolosa insidia: il juice jacking. Possibile? D'altronde stiamo solo caricando il telefono. E invece secondo FBI e FCC no: scopriamo cos'è il juice jacking e come proteggersi.

Se infatti vi collegate a una porta USB, potete potenzialmente connettervi a un dispositivo esterno, il che significa che un malintenzionato potrebbe estrarre le vostre informazioni personali caricando un malware sul telefono.  

In teoria, è l'equivalente dell'era digitale di venire borseggiati, e proprio quando meno ve lo aspettate. E anche se non ci sono dati che questo sia effettivamente avvenuto, nel 2023 l'FBI e l'FCC americane hanno lanciato l'allarme su questa minaccia.

Noi non esprimiamo pareri sulla questione: anche se per molti si tratta di un allarme inutile vediamo come funziona e come eventualmente prendere precauzioni per stare sul sicuro.

Il juice jacking (juice in inglese significa succo, ma anche energia elettrica, mentre jack in gergo informatico significa prendere illegalmente il controllo di un dispositivo o di un sito) è quello che ci suggerisce il nome, ovvero prendere il controllo di un dispositivo sfruttando la ricarica. 

Questo attacco, che per quello che ne sappiamo è teorico, si verifica quando i dispositivi  vengono collegati a una porta di ricarica USB pubblica, infettandoli con un malware e prendendone il controllo o estraendone informazioni.

Com'è possibile? I cavi USB che utilizziamo per caricare gli smartphone non servono solo per trasferire la carica, e infatti li sfruttiamo anche per trasferire dati. Un malintenzionato che abbia infettato una porta USB di una colonnina di ricarica pubblica, potrebbe far sì che un malware entri nel nostro telefono quando lo colleghiamo e successivamente usarlo per estrarre i nostri dati o altro.

L'origine del juice jacking risale al 2011 quando Brian Krebs, un giornalista reporter investigativo statunitense esperto di crimini informatici presentò al DEFCON un esempio (proof of concept) di questo attacco, per cui aveva coniato il termine poi utilizzato. 

Quando gli utenti collegavano i loro telefoni a una stazione di ricarica gratuita (e compromessa), veniva visualizzato un messaggio sullo schermo:

"Non dovresti fidarti dei punti di ricarica pubblici per il tuo smartphone. Le informazioni possono essere recuperate o scaricate senza il tuo consenso. Fortunatamente per te, questa stazione ha preso la strada etica e i tuoi dati sono al sicuro. Goditi la ricarica gratuita!"

Negli anni successivi, la minaccia è stata mostrata sempre a livello teorico, e non si hanno reali informazioni di esempi in cui sia stata effettivamente messa in atto. Nel 2019 il vice procuratore distrettuale di Los Angeles emanò un avviso pubblico sui rischi del juice jacking, e nel 2023 ha fatto notizia un tweet dell'FBI di Denver in cui si avvertiva la popolazione di diffidare dei punti di ricarica USB pubblici, e di utilizzare il proprio caricatore e cabo USB.

L'avvertimento è stato condiviso anche dall'FCC, l'ente federale statunitense che gestisce e certifica gli usi dello spettro radio e le telecomunicazioni, il che dovrebbe far pensare che ci siano stati effettivamente casi reali.

In realtà non tutti sono convinti, perché non ci sono prove che un attacco del genere sia mai avvenuto.

Anche se confermata sul sito dell'FCC, un portavoce dell'FBI di Denver ha poi affermato, secondo Slate, che si trattava di un Annuncio di servizio pubblico, e che non si trattava di "niente di nuovo".

Anche il noto sito ArsTechnica si è pronunciato sulla questione, affermando che sono per lo più "sciocchezze" e che il rischio maggiore di caricare un telefono a una porta USB pubblica è un'alimentazione non controllata o componenti della porta difettosi che potrebbero danneggiare il telefono.

In ogni caso, vediamo come funziona questo attacco. 

Che sia capitato o meno a qualcuno, una cosa è certa: il juice jacking può teoricamente essere messo in atto.

Vediamo come.

Il juice jacking è un attacco di tipo man-in-the-middle, in quanto viene in qualche modo modificata la comunicazione tra due dispositivi. Abbiamo già anticipato che per essere attuato infatti bisogna collegare il proprio dispositivo, smartphone o tablet (ma anche computer), tramite cavo di ricarica a una porta USB infetta.

Una tipica porta USB comprende cinque pin, solo uno dei quali viene utilizzato per la ricarica. Altri due vengono utilizzati per il trasferimento dei dati e i restanti due vengono utilizzati rispettivamente come indicatore di presenza del dispositivo collegato e la messa a terra.

Il cavo di ricarica USB (a meno che non se ne utilizzi uno che trasferisce solo corrente elettrica), come abbiamo spiegato, consente anche di condurre i dati, quindi eventualmente un malware nascosto da un hacker in una porta USB. 

Se un malintenzionato ha manomesso una porta USB di una stazione di ricarica con un cosiddetto "skimmer", come una sorta di microfono nascosto, ma per i dati, quando qualcuno collega il proprio dispositivo alla porta USB, lo skimmer estrae direttamente informazioni o rilascia un malware. 

Di solito, il sistema operativo del telefono disabilita le capacità di trasferimento dati non appena il telefono è collegato, cosa che potreste aver visto quando collegate un telefono a un computer.

Viene chiesta la conferma che vi chiede di fidarvi del dispositivo a cui vi collegate, e a questo punto vine abilitato il trasferimento di dati.

Questa soluzione è stata adottata sia da iOS che da Android, ma sono sempre possibili vulnerabilità, come quella chiamata Mactans che consentiva di caricare un malware in iOS attraverso un caricatore manomesso. 

È quindi possibile che una porta USB manomessa possa sfruttarle per effettuare la connessione e montare il disco del telefono per caricare il malware senza il consenso dell'utente. 

Quali dispositivi sono i soliti obiettivi? Telefoni e tablet sono le scelte migliori, ma in realtà, tutto quello che si carica attraverso una porta USB, compresi gli eBook reader.

I luoghi dove è più probabile che si verifichino questo tipo di attacchi sono aeroporti, centri commerciali, hotel, palestre, biblioteche, tutti quelli che dispongono di punti di ricarica pubblici. 

Potenzialmente il juice jacking potrebbe aprire la porta a una serie di attacchi.

 Il più immediato potrebbe essere l'estrazione di dati e informazioni personali dai dispositivi degli utenti. Il furto di dati, che potrebbe comprendere foto, documenti, dati delle carte di credito e dei conti, cartelle cliniche ed email, sarà in genere completamente automatizzato e avverrà molto rapidamente. 

In alternativa, è possibile che il juice jacking carichi un malware o un virus nel dispositivo, che una volta infettato sarà esposto a tutti i danni associati alle infezioni da malware/virus: ricatto per recuperare i dati, perdita di dati, perdita di funzionalità, connessioni di rete casuali, rallentamento del dispositivo, installazione di altri malware e molto altro.

Ma non solo, perché il vostro dispositivo infettato potrebbe a sua volta infettare gli altri dispositivi di casa. Basta caricarlo insieme su una stazione di ricarica comune.

Inoltre un'altra possibilità è che il vostro telefono venga disabilitato dal malware per lasciare il pieno controllo a chi ha congegnato l'attacco.

Nel 2016, poi, alcuni ricercatori hanno mostrato che il juice cjacking può essere sfruttato per inviare il contenuto dello schermo del telefono alla stazione di ricarica, con la possibilità di registrare quello che stava facendo l'utente.  

In ogni caso, a parte il caso in cui un dispositivo sia disabilitato, un attacco di juice jacking potrebbe essere difficili da individuare. Magari potreste notare alcuni effetti generici che si potrebbero osservare come in ogni infezione da malware, come un rallentamento o un consumo di batteria anomalo, con conseguente surriscaldamento del telefono.

Il juice jacking può creare molti problemi, ma le precauzioni sono così semplici da mettere in atto da non richiedere investimenti o rinunce particolari: basta solo un minimo di attenzione. 

La cosa più semplice da fare sarebbe evitare di utilizzare stazioni di ricarica pubbliche. Ci sono altre alternative: portarsi il proprio caricatore e cavo e collegarlo a una presa elettrica a muro.

Oppure potete dotarvi di un power bank: ce ne sono anche di molto piccoli e averne uno nello zaino non guasta mai. 

Cosa fare se non siete stati previdenti e non avete un power bank o un caricatore? In questo caso, potrebbe essere utile usare un cavo USB che non trasmetta i dati. Ci sono infatti cavi USB che funzionano solo per la ricarica (vengono commercializzati come Data blocker), anche con porta lightning per gli iPhone meno recenti. 

In alternativa, ci sono anche adattatori, sempre chiamati Data blocker, che possono essere usati per connettere al telefono e al tablet un cavo USB normale. Anche in questo bloccherete il flusso di dati in entrata e uscita. 

Un'altra soluzione può essere, in mancanza di meglio, spegnere il telefono prima di metterlo in carica. Tenete presente che alcuni telefoni si accendono automaticamente quando collegati alla rete elettrica, quindi fate una prova prima di collegarlo a una stazione di ricarica pubblica.

Infine, vale sempre la norma di tenere il dispositivo sempre aggiornato e, se proprio non potete fare a meno di collegarlo a una porta USB di ricarica pubblica, non consentire il collegamento in caso venga richiesto. Se si tratta di una stazione di ricarica, infatti, non dovrebbe chiedere alcun permesso, quindi in questo caso non cliccate su Consenti o Fidati e scollegate immediatamente il dispositivo.

Come abbiamo anticipato, potrebbe non essere sufficiente, ma è comunque meglio di niente. Per maggiore sicurezza, disattivate l'opzione di trasferimento automatico dei dati quando è collegato a un cavo di ricarica.