iOS e Android per anni vulnerabili ad attacchi juice jacking tramite caricabatterie contraffatti

Il termine juice jacking è stato introdotto nel 2011 per descrivere una tecnica in cui un caricabatterie pubblico, opportunamente modificato, veniva utilizzato per sottrarre dati o installare malware su dispositivi mobili collegati tramite porta USB.

Per contrastare questa minaccia, sia Apple che Google hanno introdotto, a partire dal 2012, una serie di mitigazioni che richiedevano all’utente di autorizzare esplicitamente l’accesso ai dati ogni volta che il dispositivo veniva collegato a un computer o caricabatterie sconosciuto. Queste contromisure si basavano sull’assunto che un caricabatterie non potesse simulare l’input dell’utente durante la richiesta di autorizzazione, impedendo così l’accesso automatico ai dati senza il consenso esplicito dell’utente.

ChoiceJacking, un nuovo metodo per sfruttare gli attacchi juice jacking

Un recente studio condotto dai ricercatori della University of Technology di Graz ha dimostrato, però, che tale presupposto era errato. I nuovi attacchi ChoiceJacking, i primi noti per aver cercato di aggirare le restrizioni imposte dalle aziende, sfruttano una serie di vulnerabilità nei sistemi operativi mobili che permettono a un caricabatterie malevolo di simulare l’input dell’utente, aggirando così la finestra di conferma e ottenendo accesso ai dati del dispositivo collegato.

Secondo quanto riportato nella pubblicazione, i ricercatori hanno identificato tre tecniche distinte che permettono di eludere le difese originali sia di Android sia di iOS. Una di queste varianti è valida contro entrambi i sistemi operativo: in questo caso, il meccanismo di attacco prevede che il caricabatterie si presenti inizialmente come tastiera USB o periferica simile, inviando sequenze di input che simulano la pressione di tasti e l’interazione con i menu di sistema. In un secondo momento, sfruttando lo standard USB Power Delivery e la funzione di Data Role Swap, il caricabatterie può cambiare ruolo e diventare host USB, attivando la richiesta di autorizzazione all’accesso dati.

Viene poi stabilita una connessione Bluetooth con una tastiera nascosta all’interno del caricabatterie stesso, che consente di confermare la richiesta di accesso dati senza alcun intervento reale dell’utente. La valutazione sperimentale condotta dai ricercatori ha coinvolto dispositivi di otto diversi produttori, inclusi i sei principali per quota di mercato. Gli attacchi ChoiceJacking sono riusciti a estrarre file sensibili come immagini, documenti e dati delle app su tutti i dispositivi testati, in alcuni casi anche da dispositivi bloccati. Per attacchi che richiedono il dispositivo sbloccato, i ricercatori hanno utilizzato un canale laterale sull’alimentazione per identificare il momento migliore in cui agire, riducendo la probabilità che l’utente notasse comportamenti anomali.

Gli altri due metodi sono efficaci solo su Android: il primo sfrutta restrizioni che non venivano rispettate attraverso il protocollo Android Open Access Protocol; il secondo sfrutta una race condition inondando l'input dispatcher di Android con una sequenza di eventi confezionata ad-hoc. In ogni caso, Apple e Google hanno reagito recentemente introducendo nuove misure: iOS 18.4 ora richiede l’autenticazione tramite PIN o password per autorizzare una connessione dati, e anche Android 15 ha rafforzato le proprie difese in materia. Tuttavia, la frammentazione dell’ecosistema Android lascia ancora molti dispositivi vulnerabili, soprattutto quelli che non hanno ricevuto gli aggiornamenti più recenti o che utilizzano interfacce personalizzate che non implementano le nuove misure di sicurezza.

Le vulnerabilità identificate sono state segnalate ai principali vendor, che hanno riconosciuto la gravità del problema e stanno lavorando alle correzioni. Tuttavia, la natura strutturale del difetto, radicato nel modello di fiducia USB dei sistemi operativi mobili, rende complessa una soluzione definitiva senza impattare negativamente con l'esperienza utente, come sottolineato dagli stessi ricercatori.