La oficina del FBI en Denver advierte a los consumidores sobre el uso de estaciones de carga públicas gratuitas, diciendo que los delincuentes pueden usar los puertos USB en las paradas de jugo para introducir malware y software de monitoreo en los dispositivos.
“Lleve su propio cargador y cable USB y use un tomacorriente en su lugar”, recomendó la agencia en un tuit reciente.
El “juice jacking” ha existido durante una década, aunque nadie sabe qué tan extendida se ha vuelto la práctica.
“Se ha hablado mucho de que sea público, pero no mucho que se capte en el público”, observó Brian Markus, director ejecutivo de Seguridad Ariesuna compañía de educación e investigación de seguridad en Wilmington, Del. Markus, y su colega Robert Rowley demostraron por primera vez el robo de jugos en 2012.
«Los cargadores de extracción de jugo son como skimmers de cajeros automáticos», dijo Markus a TechNewsWorld. “Escuchas mucho sobre ellos, pero no necesariamente los ves”.
Evita utilizar estaciones de carga gratuitas en aeropuertos, hoteles o centros comerciales. Los malos actores han descubierto formas de usar puertos USB públicos para introducir malware y software de monitoreo en los dispositivos. Lleve su propio cargador y cable USB y use una toma de corriente en su lugar. pic.twitter.com/9T62SYen9T
— FBI Denver (@FBIDenver) 6 de abril de 2023
Explicó que alguien que quiera manipular una estación de carga de energía legítima podría cambiar el cable de la estación por un cable manipulado, que contiene el chip que puede instalar un troyano de acceso remoto, o puerta trasera, en un teléfono. Luego, el teléfono puede ser atacado en cualquier momento a través de Internet.
“Es especialmente frecuente en los teléfonos con Android que ejecutan versiones anteriores del sistema operativo”, dijo Markus. “Por eso es importante que los usuarios mantengan sus dispositivos actualizados”.
Opiniones divergentes
Parece haber opiniones contradictorias en la comunidad de seguridad acerca de cuán importante es la amenaza del robo de jugos para los consumidores.
«En general, no es muy común porque usar una instalación de carga remota no es algo que la gente haga con mucha frecuencia», observó Bud Broomhead, director ejecutivo de Viakooun desarrollador de soluciones de software de seguridad física y cibernética en Mountain View, California.
“Sin embargo, si alguien es usuario de un sistema de carga fuera de su control, la advertencia emitida por el FBI debería hacer que cambie su comportamiento, ya que los casos van en aumento”, dijo a TechNewsWorld.
Aviram Jenik, presidente de Apona Seguridaduna compañía de seguridad de código fuente en Roseville, California, sostuvo que el robo de jugo es «extremadamente común».
“No tenemos números porque los dispositivos tienden a estar en lugares donde las personas no se quedan mucho tiempo, por lo que es fácil colocar un dispositivo no autorizado y luego retirarlo”, dijo a TechNewsWorld.
“Se ha hecho durante años y la aparición de estaciones de carga infectadas con malware es casi regular”, agregó.
“A medida que la carga se vuelve cada vez más sofisticada, es decir, los datos viajan en los mismos cables que transportan una carga, esto empeorará”, dijo. “Cuando el objetivo es de mayor valor, por ejemplo, un EV versus un teléfono móvil, las apuestas serán mayores”.
Jenik agregó que otro desarrollo futuro sería la carga inalámbrica, que permitiría a los atacantes realizar un ataque sin que nadie vea el dispositivo físico utilizado para la violación.
Problema de comunicación bidireccional
Es probable que el robo de jugos ocurra en áreas frecuentadas por personas de interés: políticos o trabajadores de agencias de inteligencia, afirmó Andrew Barratt, director gerente de soluciones e investigaciones en Fuego de carbónun proveedor de servicios de asesoramiento sobre ciberseguridad con sede en Westminster, Colorado.
“Para que un ataque de robo de jugo sea efectivo, tendría que entregar una carga útil muy sofisticada que pueda eludir las medidas de seguridad telefónicas comunes”, dijo a TechNewsWorld.
«Francamente», continuó, «me preocuparía más que los enchufes se usen tanto que dañen mi cable o el enchufe del teléfono».
El robo de jugo explota la tecnología USB con fines maliciosos. “El problema es que los puertos USB permiten la comunicación bidireccional, no solo para la carga de energía, sino también para la transmisión de datos. Así es como su dispositivo USB puede enviar imágenes y otros datos cuando lo conecta”, explicó Roger Grimes, un evangelista de defensa en SaberBe4un proveedor de capacitación en concientización sobre seguridad en Clearwater, Fla.
“El puerto USB nunca fue diseñado para evitar que se envíen comandos maliciosos avanzados a través del canal de datos”, dijo a TechNewsWorld. “Ha habido muchas mejoras de seguridad en el puerto USB a lo largo de los años, pero todavía hay vías adicionales de ataque, y la mayoría de los dispositivos habilitados para USB permiten que el puerto de carga se declare una versión anterior del estándar de puerto USB, por lo que algunas de las Las características de protección más nuevas ya no están disponibles”.
¿Serán los vehículos eléctricos los siguientes?
JT Keating, vicepresidente senior de iniciativas estratégicas de Zimperiumun proveedor de soluciones de seguridad móvil en Dallas, advirtió a los consumidores que desconfíen de las soluciones gratuitas que se anuncian a sí mismas como servicios «públicos».
“Cuando los piratas informáticos engañan a las personas para que usen sus redes Wi-Fi y centrales eléctricas falsas, pueden comprometer los dispositivos, instalar malware y spyware y robar datos”, dijo a TechNewsWorld.
“Esta tendencia continuará y evolucionará a medida que más y más personas se conecten a estaciones de carga EV para sus vehículos eléctricos”, continuó. “Al comprometer una estación de carga EV, los atacantes pueden causar estragos al robar información de pago o al hacer una variación de ransomware al deshabilitar las estaciones y evitar la carga”.
Barratt de Coalfire señaló que las estaciones de carga de vehículos eléctricos han sido una preocupación durante un tiempo, pero los problemas han sido el robo de cargas o el uso gratuito de las estaciones.
“A más largo plazo”, dijo, “sospecho que existe la preocupación de que sigamos viendo más ataques contra estos cargadores a medida que el mundo hace la transición a los cargadores EV”.
“Cuando teníamos teléfonos públicos, hubo ataques contra ellos”, continuó. “Hay ataques regulares contra cajeros automáticos y surtidores de gasolina. Cualquier cosa donde el valor sea prescindible en un entorno desatendido, existe un potencial de recompensa para que un ladrón cibernético lo aproveche”.
Evite convertirse en una víctima del robo de jugo
Desde que Markus y Rowley introdujeron al mundo el juice jacking, las condiciones han mejorado para los atacantes. Se ha agregado conectividad inalámbrica a los puertos de carga, por ejemplo.
“Cuando hicimos esto por primera vez, teníamos una computadora portátil completa escondida en la estación de carga y estaba haciendo mucho trabajo”, señaló Markus. “La cantidad de poder de cómputo para hacer lo mismo ahora es significativamente menor”.
El FBI no es la única agencia alfabética que hace sonar la alarma sobre el robo de jugos. La FCC, en el pasado, también advirtió a los consumidores sobre la práctica. Para evitar convertirse en una víctima de los extractores de jugo, recomienda:
- Evite usar una estación de carga USB. Utilice una toma de corriente de CA en su lugar.
- Cuando viaje, traiga su propia CA, cargadores de automóvil y cables USB.
- Llevar un cargador portátil o batería externa.
- Considere llevar un cable solo de carga, que evita que los datos se envíen o reciban durante la carga, de un proveedor confiable.