Juice jacking
Il juice jacking è un tipo di attacco informatico che coinvolge una porta di ricarica che funge anche da connessione dati, in genere tramite USB. Ciò spesso comporta l'installazione di malware o la copia di nascosto di dati sensibili da uno smartphone, un tablet o un altro dispositivo informatico.
Ricerca pubblicata
[modifica | modifica wikitesto]The Wall of Sheep, un evento al Defcon ha istituito e consentito l'accesso del pubblico a un chiosco informativo sul juice jacking ogni anno al DefCon dal 2011. Il loro intento era quello di far avere la consapevolezza di questo attacco al grande pubblico. Ciascuno dei chioschi sul juice jacking allestiti nel villaggio di Wall of Sheep comprendeva una CPU nascosta che veniva utilizzata, in qualche modo, per informare l'utente che non doveva collegare i propri dispositivi ai chioschi di ricarica pubblici. Il primo chiosco informativo sul juice jacking includeva uno schermo che passava dal mostrare la frase "Stazione di ricarica gratuita" a un messaggio di avviso secondo il quale l'utente "non doveva fidarsi delle stazioni di ricarica pubbliche per i propri dispositivi elettronici".[1] Uno dei ricercatori che aveva progettato la stazione di ricarica per il Wall of Sheep tenne delle presentazioni pubbliche che mostravano altri atti dannosi che avrebbero potuto essere compiuti tramite il chiosco, come il furto di dati, il monitoraggio dei dispositivi e informazioni sulla compromissione dei chioschi di ricarica esistenti.[2]
Il ricercatore di sicurezza, Kyle Osborn, nel 2012 pubblicò un framework di attacco chiamato P2P-ADB che utilizzava un USB On-The-Go per connettere il telefono di un aggressore al dispositivo di una vittima bersaglio. Questo framework includeva esempi e prove di concetti che avrebbero consentito agli aggressori di sbloccare i telefoni bloccati e rubare dati da un telefono comprese le chiavi di autenticazione che garantivano all'attaccante l'accesso all'account Google del proprietario del dispositivo di destinazione.[3]
Laureati e studenti ricercatori di sicurezza del Georgia Institute of Technology (Georgia Tech), nel 2013, resero disponibile uno strumento dannoso "proof of concept", del nome "Mactans", che utilizzava la porta di ricarica USB sui dispositivi mobili Apple durante i briefing sulla sicurezza di Blackhat USA. Utilizzarono componenti hardware poco costosi per costruire un caricatore da muro dannoso di piccole dimensioni che poteva infettare un iPhone con la versione corrente di iOS con software dannoso mentre veniva caricato. Il software poteva annullare qualsiasi misura di sicurezza integrata in iOS e mascherarsi allo stesso modo in cui Apple mascherava i processi in background in iOS.[4]
I ricercatori di sicurezza Karsten Nohl e Jakob Lell di SRLabs, nel 2014, pubblicarono la loro ricerca su BadUSB durante i briefing sulla sicurezza di Blackhat USA.[5][6] La loro presentazione su questo attacco affermava che un cellulare o un tablet in carica su un computer infetto sarebbe stato uno dei metodi più semplici per propagare la vulnerabilità BadUSB. Inclusero un esempio di codice firmware dannoso che avrebbe infettato i dispositivi Android con BadUSB.[7]
I ricercatori dell'Aries Security e del Wall of Sheep hanno poi rivisitato il concetto di juice jacking nel 2016. Hanno installato una stazione di ricarica "Video Jacking" che è stata in grado di registrare lo schermo con mirroring dai telefoni collegati alla loro stazione di ricarica dannosa. I dispositivi interessati all'epoca includevano dispositivi Android che supportavano i protocolli SlimPort o MHL su USB, nonché l'iPhone più recente che utilizzava un connettore per cavo di ricarica lampo.[8]
I ricercatori di Symantec hanno rivelato le loro scoperte su un attacco che hanno soprannominato "Trustjacking"[9] durante la RSA Conference 2018. Essi hanno identificato che quando un utente approvava l'accesso di un computer su un dispositivo iOS tramite USB, questo livello di accesso affidabile veniva applicato anche all'API iTunes del dispositivo, accessibile tramite Wi-Fi. Ciò avrebbe consentito agli aggressori di accedere a un dispositivo iOS anche dopo che l'utente aveva scollegato lo stesso da una fonte basata su USB dannosa o infetta.
Un ricercatore che si fa chiamare _MG_ ha pubblicato un impianto di cavo USB che ha soprannominato "Cavo O.MG".[10] Il cavo O.MG ha un microcontrollore incorporato. Un'ispezione visiva probabilmente non rileverebbe una differenza tra il cavo O.MG e un normale cavo di ricarica. Il cavo O.MG consente agli aggressori o ai tester di penetrazione di inviare comandi in remoto al cavo tramite Wi-Fi e di eseguire tali comandi sul computer host con il cavo O.MG collegato.
Avvertimenti pubblici e cultura popolare
[modifica | modifica wikitesto]Brian Krebs è stato il primo a riferire su questo attacco e a coniare il termine "juice jacking". Dopo aver visto il chiosco informativo per la ricarica dei telefoni cellulari allestito nel Wall of Sheep alla DefCon 19 nell'agosto 2011, scrisse il primo articolo sul suo sito di giornalismo sulla sicurezza Krebs on Security.[11] I ricercatori di The Wall of Sheep, tra cui Brian Markus, Joseph Mlodzianowski e Robert Rowley, avevano progettato il chiosco come strumento di informazione per sensibilizzare il potenziale vettore di attacco e descrissero, ma non resero pubblici, strumenti che eseguivano azioni dannose sui dispositivi di ricarica.[2]
Un episodio della serie di hacking, Hak5, pubblicato nel settembre 2012, ha mostrato una serie di attacchi che possono essere condotti utilizzando un framework di attacco denominato P2P-ADB pubblicato da Kyle Osborn. Il framework di attacco P2P-ADB discusso utilizzava un telefono per attaccare un altro telefono tramite una connessione USB On-The-Go.[12]
Alla fine del 2012 la NSA pubblicò un documento per avvertire i dipendenti del governo, che viaggiavano, della minaccia dell'utilizzo del juice jacking. Il documento ricordava ai lettori di utilizzare solo i propri cavi di ricarica personali durante i viaggi all'estero, di non caricare i telefoni nei chioschi pubblici e di non utilizzare i computer di altre persone per la ricarica.[13][14]
L'Android Hackers Handbook, reso disponibile nel marzo 2014, ha sezioni dedicate che discutono sia del juice jacking che del framework ADB-P2P.[15]
Il juice jacking è stato il fulcro centrale di un episodio di CSI: Cyber, stagione 1, episodio 9, "L0M1S" in onda ad aprile 2015.[16]
Nel novembre 2019, il vice procuratore distrettuale di Los Angeles ha emesso un avviso di servizio pubblico sui rischi dell'utilizzo del juice jacking durante le vicine festività natalizie.[17] Questo annuncio pubblico è stato messo sotto esame a causa del fatto che non sono emersi casi pubblici relativi a chioschi dannosi trovati in pubblico o casi criminali processati sotto la competenza del procuratore distrettuale di Los Angeles al momento dello stesso.[18]
Mitigazione
[modifica | modifica wikitesto]L'iOS di Apple ha adottato diverse misure di sicurezza per ridurre la superficie di attacco tramite USB, inclusa quella di non consentire più al dispositivo di montarsi automaticamente come disco rigido quando collegato tramite USB, nonché rendere disponibili patch di sicurezza per vulnerabilità come quelle sfruttate da Mactan.[4]
I dispositivi Android in genere richiedono il consenso dell'utente prima di effettuare il montaggio del dispositivo come disco rigido quando collegato tramite USB. Dalla versione 4.2.2, Android ha implementato un passaggio di verifica della whitelist per impedire agli aggressori di accedere ad Android Debug Bridge senza autorizzazione.[19]
Il juice jacking non è possibile se un dispositivo viene caricato tramite l' adattatore CA fornito con il dispositivo, un dispositivo di backup della batteria o utilizzando un cavo USB con solo cavi di alimentazione e nessun cavo dati presente. Uno strumento originariamente chiamato USB Condom è stato messo in commercio nel 2012 con l'unico scopo di impedire il passaggio delle connessioni dati su un cavo USB, ci sono molti fornitori che ora vendono adattatori USB che rimuovono i pin dei dati.
Note
[modifica | modifica wikitesto]- ^ (EN) Juice Jacking, su Wall of Sheep.
- ^ a b (EN) Juice jacking 101.
- ^ (EN) P2P-ADB.
- ^ a b (EN) US 13 Lau Mactans Injecting Malware into iOS Devices- via Malicious Chargers WP (PDF). URL consultato il 18 ottobre 2021 (archiviato dall'url originale il 4 agosto 2015).
- ^ (EN) BadUSB - On Accessories That Turn Evil, su BlackHat Briefings USA 2014.
- ^ (EN) BadUSB Presentation at Blackhat USA 2014.
- ^ (EN) Turning USB peripherals into BadUSB, su SRLabs.de. URL consultato il 18 ottobre 2021 (archiviato dall'url originale il 18 aprile 2016).
- ^ (EN) Road Warriors: Beware of 'Video Jacking', su Krebs on Security.
- ^ (EN) iOS Trustjacking.
- ^ (EN) O.MG Cable.
- ^ (EN) Beware of Juice Jacking?, su Krebs on Security.
- ^ (EN) P2P-ADB on Hak5. URL consultato il 18 ottobre 2021 (archiviato dall'url originale il 6 maggio 2021).
- ^ (EN) How American Spies Use iPhones and iPads, su Fast Company.
- ^ (EN) "Security Configuration Recommendations for Apple iOS 5 Devices. NSA Mitigations Group" (PDF). URL consultato il 18 ottobre 2021 (archiviato dall'url originale il 5 marzo 2016).
- ^ (EN) Joshua Drake, Zach Lanier e Collin Mulliner, Android Hacker's Handbook, Wiley, marzo 2014, p. 576, ISBN 978-1-118-60864-7.
- ^ (EN) CSI:Cyber L0M1S, su Vulture Screencap Recap.
- ^ (EN) LADA Juice Jacking PSA.
- ^ (EN) Is Juice-Jacking via Public USB Ports a Real Security Threat?, su Snopes.
- ^ (EN) New Android 4.2.2 Feature USB Debug Whitelist, su Android Police.