Ładowarka USB na przystanku albo w centrum handlowym wygląda kusząco, ale zachowaj ostrożność. To może być pułapka.
Ilość ładowarek USB w przestrzeni publicznej rośnie. Znajdziemy je w komunikacji miejskiej, galeriach handlowych, hotelach, na dworcach i przystankach. Nawet w parkach pojawiają się ławki wyposażone w panele solarne i gniazdko USB, którym można doładować smartfon w chwili słabości. Warto jednak oprzeć się impulsowi – możliwe, że te ładowarki nie są bezpieczne.
Widzieliśmy już sporo przykładowych ataków, które można przeprowadzić z użyciem takiej niewinnie wyglądającej ładowarki w miejscu publicznym. W maju 2023 roku FBI wydało ostrzeżenie przed korzystaniem z nich w ogóle. Specjaliści wykazali ryzyko infekcji szkodliwym oprogramowaniem przez połączenie USB. W ładowarce tego typu może bowiem być nie tylko elektronika potrzebna do przesyłania energii, ale też… coś jeszcze.
Taki atak nazywa się Jiuce Jacking. Jego ofiary to najczęściej smartfony, które były ładowane z publicznego gniazdka USB, rzadziej tablety i laptopy. Konsekwencje infekcji mogą być różne, od kradzieży danych przez wykradanie informacji finansowych po instalację oprogramowania monitorującego.
A co się stanie, jeśli na zainfekowanym smartfonie była aplikacja mObywatel, w której Polacy przechowują swoje cyfrowe wersje dokumentów? Pyta o to Rzecznik Praw Obywatelskich Marcin Wiącek. W komunikacie na stronie RPO można przeczytać:
Taki cyberatak niezwykle głęboko ingeruje w prywatność użytkowników sprzętów, które miały kontakt z zainfekowanym portem, wobec czego stał się przedmiotem zainteresowania Rzecznika. […] RPO zwraca uwagę Ministra na ten problem. Szczególną troską Rzecznika jest możliwość zainfekowania telefonu użytkownika publicznego portu USB, który w urządzeniu mobilnym ma rządowe aplikacje, np. mObywatel.
Pismo w tej sprawie zostało skierowane do Ministerstwa Cyfryzacji. Rzecznik Praw Obywatelskich przekonuje, że szef resortu powinien przyjrzeć się publicznym ładowarkom USB i ryzyku, jakie mogą nieść dla obywateli. Przypomina przy tym, że rząd miał pomysł, by instalować swoje aplikacje na wszystkich smartfonach sprzedawanych w Polsce. Tym sposobem naraziłby jeszcze więcej osób na ryzyko takiego ataku.
RPO chce również uzyskać informacje na temat działań resortu i rządu w zakresie zabezpieczenia dostępu do danych w aplikacjach rządowych. W szczególności, czy są one zabezpieczone przed atakami typu Juice Jacking. Z niecierpliwością czekamy na odpowiedź. W międzyczasie zaś radzimy, by jednak nosić ze sobą własną, zaufaną ładowarkę i polować na gniazdko 220 V, by nie korzystać z publicznych gniazd USB.
Źródło zdjęć: Zhuravlev Andrey / Shutterstock
Źródło tekstu: BIP Rzecznika Praw Obywatelskich
