Deutsch 
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Diese gruseligen Warnungen vor Juice Jacking in Flughäfen und Hotels? Sie sind größtenteils Unsinn
Dan Goodin – 1. Mai 2023, 11:00 Uhr UTC
Bundesbehörden, Technikexperten und Nachrichtenagenturen möchten, dass Sie nach einem furchterregenden Cyberangriff Ausschau halten, der Ihr Telefon hacken kann, wenn Sie es nur an eine öffentliche Ladestation anschließen. Diese Warnungen vor „Juice Jacking“, wie die Bedrohung inzwischen auch genannt wird, kursieren seit mehr als einem Jahrzehnt.
Anfang dieses Monats erreichten die Ängste vor Juice Jacking jedoch einen neuen Höhepunkt, als das FBI und die Federal Communications Commission neue, unbegründete Warnungen herausgaben, die bedrohlich klingende Nachrichtenmeldungen von Hunderten von Stellen hervorriefen. NPR berichtete, dass das Verbrechen „immer häufiger vorkommt, möglicherweise aufgrund der Zunahme des Reiseverkehrs“. Die Washington Post sagte, es stelle eine „erhebliche Gefahr für die Privatsphäre“ dar, da geladene Webseiten in weniger als 10 Sekunden identifiziert werden könnten. CNN warnte, dass Ihr Gerät bereits durch das Anschließen an ein bösartiges Ladegerät infiziert sei. Und eine Schlagzeile von Fortune ermahnte die Leser: „Lassen Sie nicht zu, dass eine kostenlose USB-Ladung Ihr Bankkonto belastet.“
Das Szenario für Juice Jacking sieht etwa so aus: Ein Hacker baut Geräte an einem Flughafen, in einem Einkaufszentrum oder in einem Hotel auf. Die Ausstattung ist im Aussehen und in den Funktionen normalen Ladestationen nachempfunden, die es Menschen ermöglichen, ihre Mobiltelefone aufzuladen, wenn der Strom knapp wird. Unbemerkt von den Benutzern sendet die Ladestation heimlich Befehle über den USB- oder Lightning-Anschluss des Ladekabels und stiehlt Kontakte und E-Mails, installiert Malware und führt alle möglichen anderen bösartigen Dinge an.
„Über einen beschädigten USB-Anschluss installierte Malware kann ein Gerät sperren oder persönliche Daten und Passwörter direkt an den Täter exportieren“, warnte die FCC Anfang des Monats. „Kriminelle können diese Informationen dann nutzen, um auf Online-Konten zuzugreifen oder sie an andere Kriminelle zu verkaufen. In einigen Fällen haben Kriminelle möglicherweise absichtlich Kabel an Ladestationen eingesteckt gelassen. Es gab sogar Berichte über infizierte Kabel, die als Werbegeschenke verschenkt wurden.“ "
Ein paar Tage zuvor gab die FBI-Außenstelle in Denver eine eigene Warnung vor Saftdiebstahl heraus und schrieb unter anderem: „Böswillige haben Wege gefunden, öffentliche USB-Anschlüsse zu nutzen, um Malware und Überwachungssoftware auf Geräte einzuschleusen.“ Um nicht zu übertreffen, sagte die Generalstaatsanwältin von Michigan, Dana Nessel, dass Juice Jacking „eine weitere schändliche Methode ist, die Kriminelle entdeckt haben und die es ihnen ermöglicht, zu stehlen und von dem zu profitieren, was ihnen nicht gehört.“
Im Gegensatz zur Regierungsmitteilung warnt die überwiegende Mehrheit der Cybersicherheitsexperten nicht davor, dass Juice Jacking eine Bedrohung darstellt, es sei denn, Sie sind das Ziel nationalstaatlicher Hacker. Es gibt keine dokumentierten Fälle von Juice Jacking in freier Wildbahn. In den Hinweisen wird nicht erwähnt, dass Benutzer bei modernen iPhones und Android-Geräten eine explizite Warnung durchklicken müssen, bevor sie Dateien mit einem über Standardkabel angeschlossenen Gerät austauschen können.
„Auf einer hohen Ebene: Wenn niemand ein reales Beispiel dafür nennen kann, dass es tatsächlich im öffentlichen Raum passiert, dann ist es nichts, worüber man sich für die breite Öffentlichkeit den Kopf zerbrechen sollte“, sagt Mike Grover, ein Forscher, der offensive Hacking-Tools entwickelt führt offensive Hacking-Forschung für große Unternehmen durch, sagte in einem Interview. „Stattdessen deutet es darauf hin, dass es nur in gezielten Situationen machbar ist. Menschen, die einem solchen Risiko ausgesetzt sind, haben hoffentlich bessere Abwehrmechanismen als eine nebulöse Warnung.“
Er fügte hinzu: „Ich habe von Leuten gehört, die absichtlich die Spannung öffentlicher Ladegeräte ändern, aber das ist einfach dummes, bösartiges Zeug. Wenn es um öffentliche Ladequellen geht, glaube ich, dass ein größeres Risiko in einer schlechten Stromqualität und beschädigten Anschlüssen besteht.“
Es gibt Randfälle, die es Tastaturen – oder Geräten, die sich als Tastaturen ausgeben – ermöglichen, Befehle einzugeben, die bösartige Dinge bewirken, wenn sie mit einem iPhone und Android-Gerät verbunden sind. Diese Angriffe müssen jedoch für jedes angeschlossene Telefonmodell angepasst werden. Darüber hinaus weisen solche Techniken erhebliche Einschränkungen auf, die sie für Juice Jacking unpraktisch machen.
Mehr zu diesen Randfällen und ihren Mängeln später. Kurz und knapp: In den letzten fünf Jahren hat niemand einen brauchbaren Juice Jacking-Angriff auf ein Gerät mit einer modernen Version von iOS oder Android demonstriert. Vertretern von Apple sind keine derartigen Angriffe bekannt (Vertreter von Google antworteten nicht auf zahlreiche Anfragen nach Kommentaren), und ich konnte auch keinen Sicherheitsexperten finden, der davon wusste. Und wie bereits erwähnt, gibt es keine dokumentierten Fälle von Juice Jacking in freier Wildbahn.