CheckBlackList

ChoiceJacking: Il Pericolo Nascosto nelle Prese USB Pubbliche (e Come Difendersi)

ChoiceJacking: Il Pericolo Nascosto nelle Prese USB Pubbliche (e Come Difendersi)

Per chi ha fretta

Attenzione quando ricarichi lo smartphone (iOS o Android) usando prese USB pubbliche (aeroporti, stazioni, etc.): una nuova minaccia chiamata ChoiceJacking permette a caricatori modificati di hackerare il telefono. Questi caricatori si fingono tastiere o altri dispositivi e simulano la tua interazione per autorizzare connessioni o bypassare richieste di sicurezza, rubando potenzialmente dati. Apple (da iOS 18.4) e Google (da Android 15) hanno introdotto contromisure che richiedono autenticazione (PIN/volto/impronta) prima di interagire con nuovi dispositivi USB a telefono bloccato. La difesa migliore è usare sempre il proprio caricatore collegato a una presa elettrica a muro (AC) o un power bank. Evita le porte USB pubbliche o usa un “USB data blocker”.

Introduzione: La Presa USB Pubblica Nasconde un Nuovo Pericolo

Quel comodo punto di ricarica USB trovato in aeroporto, in stazione o in un bar potrebbe trasformarsi in una trappola digitale. Dietro l’apparenza innocua si cela una minaccia sofisticata chiamata ChoiceJacking, capace di compromettere la sicurezza del tuo smartphone e rubare foto, documenti, credenziali e altri dati sensibili. Scoperta e analizzata dai ricercatori della Graz University of Technology (TU Graz) in Austria, questa tecnica rappresenta un’evoluzione pericolosa dei già noti attacchi “juice jacking” e colpisce sia dispositivi iOS che Android.

Cos’è il ChoiceJacking e Come Funziona (La Differenza con il Juice Jacking)

Il Juice Jacking tradizionale mirava principalmente a trasferire dati o installare malware sfruttando la porta USB, ma spesso richiedeva che l’utente approvasse (anche per errore) una richiesta di fiducia o di trasferimento dati sul telefono.

Il ChoiceJacking è più subdolo perché automatizza l’approvazione. Ecco come funziona:

  1. Caricatore Malevolo: Il punto di ricarica USB pubblico non è un semplice caricatore, ma un dispositivo modificato contenente un piccolo computer.
  2. Simulazione di Dispositivo HID: Quando colleghi il telefono, il caricatore malevolo si presenta al sistema operativo non (o non solo) come fonte di alimentazione, ma come un Dispositivo di Interfaccia Umana (HID), ad esempio una tastiera USB, un mouse o un altro dispositivo di input.
  3. Bypass delle Richieste: Se il sistema operativo del telefono mostra una richiesta di conferma (es. “Autorizza questo accessorio?”, “Fidati di questo computer?”, “Consenti trasferimento dati?”), il caricatore-hacker simula l’input dell’utente (come un “tocco” sullo schermo o la pressione del tasto “Invio” su una tastiera virtuale) per accettare la richiesta senza che tu faccia nulla.
  4. Accesso Indesiderato: Una volta ottenuta l’autorizzazione fraudolenta, il dispositivo malevolo può tentare di eseguire comandi, installare software, accedere ai dati o stabilire connessioni (ad esempio, associando una tastiera Bluetooth nascosta nel caricatore).

Importante: Questo rischio esiste solo se colleghi il tuo telefono direttamente a una porta USB pubblica potenzialmente compromessa. Sei al sicuro se usi il tuo caricabatterie personale (l’alimentatore AC) collegato a una presa elettrica a muro (AC) pubblica.

Rischi Concreti: Cosa Può Succedere al Tuo Telefono

Se cadi vittima di un attacco ChoiceJacking, le conseguenze possono essere serie:

  • Furto di Dati: Accesso non autorizzato a foto, video, contatti, messaggi, documenti.
  • Furto di Credenziali: Potenziale intercettazione di password o token di sessione se l’attacco riesce ad installare malware.
  • Installazione di Malware: Inserimento di spyware, keylogger o altro software malevolo.
  • Azioni Non Autorizzate: L’attaccante potrebbe tentare di eseguire comandi sul dispositivo (se le condizioni lo permettono).

Le Difese di Apple e Google: Gli Aggiornamenti Chiave (Maggio 2025)

Consapevoli di queste minacce, sia Apple che Google hanno implementato importanti contromisure nelle versioni recenti dei loro sistemi operativi:

  • Apple (da iOS 18.4): Ha introdotto un sistema di autenticazione più stringente. Quando un iPhone è bloccato, il collegamento di un nuovo accessorio USB (diverso dalla semplice ricarica) richiede l’autenticazione tramite Face ID, Touch ID o codice PIN prima di poter stabilire una connessione dati o interagire.
  • Google (da Android 15): Ha implementato misure analoghe per i dispositivi Pixel e incoraggiato l’adozione da parte di altri produttori. Anche qui, l’interazione con nuovi dispositivi USB quando il telefono è bloccato dovrebbe richiedere l’autenticazione esplicita dell’utente.

Questi aggiornamenti rappresentano una difesa significativa contro gli scenari più pericolosi di ChoiceJacking, in particolare quelli che tentano di agire a telefono bloccato.

Il Rischio Residuo: Chi Deve Preoccuparsi di Più?

Nonostante i miglioramenti, alcuni rischi persistono:

  • Dispositivi Non Aggiornati: Smartphone (soprattutto Android) con versioni del sistema operativo precedenti a quelle con le nuove protezioni rimangono vulnerabili. L’aggiornamento è cruciale.
  • Frammentazione Android: La velocità con cui i produttori Android (diversi da Google) implementano le ultime patch di sicurezza può variare, lasciando alcuni dispositivi esposti più a lungo. È importante scegliere marchi noti per aggiornamenti tempestivi.
  • Telefono Sbloccato: Se colleghi il telefono a una porta USB malevola mentre è sbloccato, le richieste di autorizzazione appariranno e, sebbene non bypassate automaticamente dal ChoiceJacking (se le nuove protezioni sono attive), potresti ancora approvarle per errore se non presti attenzione.

Al momento (Maggio 2025), non ci sono segnalazioni diffuse di attacchi ChoiceJacking “in the wild”, ma la vulnerabilità dimostrata dai ricercatori evidenzia un rischio potenziale concreto in luoghi ad alto traffico.

Come Difendersi Efficacemente dal ChoiceJacking (e Simili)

La prudenza è la migliore alleata:

  1. Usa la Presa a Muro (AC) + Tuo Caricatore: È il metodo più sicuro. Collega il tuo alimentatore originale (o uno fidato) a una presa elettrica standard e usa il tuo cavo.
  2. Porta un Power Bank: Un power bank personale ti permette di ricaricare ovunque senza dipendere da prese pubbliche.
  3. Evita le Porte USB Pubbliche: Se possibile, non usare le porte USB integrate in sedili di aerei, autobus, stazioni, auto a noleggio o colonnine di ricarica pubbliche.
  4. Usa un “USB Data Blocker” (o “USB Condom”): Si tratta di piccoli adattatori da inserire tra il cavo USB e la porta pubblica. Bloccano fisicamente i pin dei dati, permettendo solo il passaggio della corrente per la ricarica. Sono economici ed efficaci.
  5. Usa Cavi “Solo Ricarica”: Esistono cavi USB progettati senza i fili per la trasmissione dati. Sono meno comuni ma offrono una protezione simile ai data blocker.
  6. Mantieni il Sistema Operativo Aggiornato: Installa sempre gli ultimi aggiornamenti di sicurezza per iOS e Android non appena disponibili. Contengono le protezioni più recenti.
  7. Non Autorizzare Dispositivi Sconosciuti: Se colleghi il telefono a una porta USB (anche per errore) e compare una richiesta di “Fiducia”, “Autorizza” o “Trasferimento Dati”, nega sempre a meno che tu non sia assolutamente sicuro della fonte (es. il tuo computer personale).
  8. Spegni il Telefono (Opzione Estrema): Se proprio devi usare una porta USB pubblica e non hai alternative, caricare il telefono da spento potrebbe ridurre alcuni rischi, ma non è una garanzia assoluta.

Hai Usato una Presa Sospetta? Cosa Controllare

Se temi di aver collegato il telefono a una porta USB compromessa:

  • Monitora Comportamenti Anomali: Presta attenzione a eventuali app che si aprono da sole, impostazioni che cambiano, popup insoliti, batteria che si scarica molto più velocemente del normale, surriscaldamento anomalo.
  • Controlla App e Permessi: Verifica se sono state installate nuove app che non riconosci o se app esistenti hanno ottenuto permessi sospetti (es. accesso a microfono, fotocamera, posizione, accessibilità).
  • Esegui una Scansione di Sicurezza: Usa un’app antivirus/anti-malware affidabile per scansionare il tuo dispositivo.
  • Cambia Password Recenti: Se hai inserito password importanti (banca, email principale, social) sul telefono poco dopo aver usato la presa sospetta, cambiale per precauzione da un dispositivo sicuro.
  • Valuta un Reset (Estremo): Se noti comportamenti gravemente sospetti e persistenti che fanno pensare a un’infezione, il ripristino alle impostazioni di fabbrica (dopo aver salvato i dati essenziali) è la soluzione più radicale ma sicura.

Conclusioni: La Prudenza è la Migliore Ricarica

Il ChoiceJacking ci ricorda che anche un gesto banale come ricaricare il telefono può nascondere insidie nell’era digitale. Sebbene i produttori stiano implementando contromisure, la frammentazione dei dispositivi e la necessità di aggiornamenti costanti lasciano aperte delle finestre di rischio. La strategia difensiva più efficace rimane quella di privilegiare sempre l’uso di caricatori e power bank personali, trattando le porte USB pubbliche con la stessa cautela con cui tratteremmo una rete Wi-Fi sconosciuta e non protetta. La sicurezza dei nostri dati vale più di una ricarica frettolosa.

Claudio R Cerroni

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *