Table des matières
Pendant près d'une décennie, nos téléphones ont une protection intégrée contre les attaques de prise de jus qui exploitent la connexion USB. Malheureusement, il y a maintenant un nouveau type d'attaque de Juice Jacking qui contourne cette protection d'une manière intelligente. Apprenons ce qu'est cette nouvelle attaque et comment vous protéger.
La nouvelle attaque de jacking de jus
En étant surnommée «Choicejacking», cette nouvelle attaque a été trouvée et rapportée par les chercheurs de l'Université de technologie de Graz, qui a démontré comment les pirates peuvent utiliser des chargeurs malveillants pour voler des données téléphoniques.
Les chercheurs ont testé l'attaque de 11 modèles de téléphone de 8 fournisseurs différents, et ils ont réussi à extraire des données de 10 téléphones. Bien qu'il y ait une condition à remplir pour que l'attaque fonctionne, il est encore assez facile d'accès.
Voici comment fonctionne l'attaque:
- Le téléphone de la victime doit être connecté au chargeur malveillant et l'écran déverrouillé.
- Le chargeur agit d'abord comme un clavier, en utilisant votre téléphone comme hôte. Le clavier envoie des commandes pour activer Bluetooth, rend l'appareil découvrable et un autre composant Bluetooth dans les couples de chargeur avec.
- Il crée ensuite une connexion de données USB normale, mais utilise la connexion Bluetooth pour simuler le taraudage sur l'écran de confirmation pour utiliser la connexion USB pour le transfert de données.
- Désormais, en conjonction avec la connexion Bluetooth et la connexion des données USB, il peut voler des images, des documents et des données d'application.
Bien qu'il s'agisse toujours d'une expérience contrôlée plutôt que d'une attaque signalée, il est prévu que de telles attaques puissent apparaître dans des bornes de recharge publics où la technologie peut être facilement mise en œuvre sans préavis.
Les chercheurs ont également souligné qu'il peut gagner un accès encore plus élevé si le débogage USB est activé au téléphone. À l'aide d'Android Debug Bridge, ils peuvent envoyer des commandes ADB pour obtenir beaucoup plus de contrôle, comme l'installation d'applications, l'accès aux fichiers système et la modification des paramètres du téléphone.
Comment rester en sécurité et protéger vos données sur le téléphone
Les chercheurs avaient déjà signalé cette vulnérabilité, et Apple et Google ont pris des mesures pour se protéger contre cela. Cependant, la solution n'est pas disponible pour tous les appareils, vous devez donc suivre certaines mesures de protection pour vous assurer que ce type d'attaque ne vous affecte pas. Vous trouverez ci-dessous quelques façons d'éviter cette nouvelle attaque de jacking de jus:
N'utilisez pas de bornes de charge publique
Cet et tout autre type d'attaque de Juice Jacking se produisent presque toujours dans les bornes de recharge publics, comme dans les centres commerciaux ou les aéroports. Par conséquent, essayer simplement d'éviter de charger votre téléphone dans des bornes de recharge public est votre meilleur pari. Si possible, essayez de garder votre chargeur de téléphone avec vous ou du moins transportez une banque d'alimentation si vous restez souvent loin de votre lieu de charge.
Mettez à jour le système d'exploitation de votre téléphone
Apple et Google ont tous deux implémenté la vérification des modèles ou biométriques pour la connexion de données USB dans leurs dernières mises à jour. Apple a ajouté cela dans la mise à jour iOS 18.4, et Google a ajouté cette protection dans Android 15.
Cependant, sur Android, cette protection n'a jusqu'à présent été confirmée que sur les appareils Google Pixel. Puisqu'il ajoute une autre étape de vérification pour les utilisateurs, les fabricants d'Android hésitent, car il peut affecter négativement l'expérience utilisateur. La plupart des téléphones Android n'ont également pas du tout reçu la mise à jour Android 15, ou ne sont pas éligibles pour cela.
Mettez à jour votre appareil iOS vers 18.4 et, si possible, votre téléphone Android vers Android 15, puis connectez-vous via un câble USB pour vérifier s'il invite l'authentification.
Utilisez un câble USB de charge uniquement ou un bloqueur de données USB
Les câbles USB de charge uniquement ont toujours été là pour éviter les attaques de jacking de jus, et ils fonctionnent également bien pour le choix de choix. Ces câbles n'ont pas du tout des épingles de données, ils ne peuvent donc pas transférer des données du tout. Même si vous vous connectez à une station de charge compromise, ces câbles ne factureront toujours le téléphone.
Le bloqueur de données USB est un autre appareil similaire qui se fixe à votre câble USB et empêche les signaux de données de transférer, obtenant les mêmes résultats qu'un USB de charge uniquement. JSAUX USB Data Blocker est un appareil populaire à cet effet. JSAUX propose également un câble de bloqueur de données USB-C si vous préférez transporter un câble.
Surveiller le téléphone
Si vous devez facturer le téléphone dans une station de charge publique et ne pas avoir de protection en place, alors surveillez au moins le téléphone pour assister à un comportement irrégulier. Si le téléphone s'active automatiquement sur Bluetooth ou si vous remarquez un menu de sélection de mode de connexion USB, vous devez immédiatement déconnecter. Si vous devez quitter le téléphone, assurez-vous que le verrouillage de l'écran est activé et appliqué.
En fin de compte, l'utilisation de toute technologie accessible au public, comme les réseaux Wi-Fi publics, comporte des risques. Vous ne devez connecter votre appareil que avec un appareil de service public s'il est nécessaire, et assurez-vous que les protections recommandées sont en place. Pour éviter tous les types d'attaques de prise de jus, l'utilisation d'un câble de charge uniquement est la meilleure pratique.
