Juicejacking

Todavía no hay datos públicos que demuestren la magnitud de este tipo de vulnerabilidades, pero esta no es la primera vez que las autoridades emiten una alerta sobre el tema.

Ese USB disponible en el transporte público o en el lobby de aeropuertos, cafeterías u hoteles puede parecer una herramienta útil para recargar rápidamente tu celular, pero también puede representar un gran riesgo. Tanto es así que el FBI pidió explícitamente a la gente que dejara de usar este tipo de entradas al alcance de todos, prefiriendo los puntos de venta convencionales y los cargadores que vienen con los smartphones.

El peligro detrás de la práctica se denominó «JuiceJacking». Cuando se conecta a un USB, el dispositivo recibe energía, sí, pero también puede ser blanco de virus y códigos maliciosos que roban datos o implementan mecanismos de espionaje o robo de información personal y bancaria. Parece un riesgo sacado directamente de una película, pero que se ha vuelto lo suficientemente real como para convertirse en una advertencia de la agencia gubernamental.

Y según el FBI en Denver, Colorado: Los malos actores han descubierto formas de usar puertos USB públicos para introducir malware y software de monitoreo en los dispositivos.

En 2011, el término era completamente nuevo, y el JuiceJacking fuen una técnica de ataque que apareció en una conferencia Black Hat 2011 en Las Vegas.

Todavía no hay datos públicos que demuestren la magnitud de este crimen, pero esta no es la primera vez que las autoridades emiten una alerta sobre el tema. En 2019, por ejemplo, LAPD advirtió sobre los riesgos después de encontrar una estación de carga infectada con malware en un festival de música; en 2018, una persona fue arrestada en los EE.UU. por comprometer dichos terminales en un parque de diversiones, con el ojo puesto en los datos de la tarjeta de crédito.

Extracción de jugo explicada

La idea es simple: personas de viaje, especialmente en los aeropuertos, tienen ansiedad por cargar su teléfono. Pero, los teléfonos se cargan con cables USB, que están diseñados específicamente para que puedan transportar energía y datos.

Entonces, si conecta su teléfono a una toma USB proporcionada por otra persona, ¿cómo puede estar seguro de que solo está proporcionando energía de carga y no está tratando de negociar en secreto una conexión de datos con su dispositivo al mismo tiempo?.

La respuesta simple es que no puede estar seguro, especialmente si es 2011 y está en la conferencia Black Hat asistiendo a una charla titulada Mactans: Inyectar malware en dispositivos iOS a través de cargadores maliciosos.

La palabra Mactans estaba destinada a ser un BWAIN, or Bug With An Impressive Name(se deriva de latrodectus mactans, la pequeña pero tóxica araña viuda negra), pero «juicejacking» fue el apodo que se mantuvo.

Curiosamente, Apple respondió a la demostración con un cambio simple pero efectivo en iOS, que es bastante similar a cómo reacciona iOS hoy cuando está conectado por USB a un dispositivo aún desconocido:

«Evite usar estaciones de carga gratuitas en aeropuertos, hoteles o centros comerciales. Los atacantes han creado formas de usar puertos USB públicos para introducir malware y software de seguimiento en los dispositivos. Traiga su propio cargador y cable USB y use una toma de corriente», señaló el FBI en un tweet.

La recomendación de seguridad, de nuevo, es el uso de enchufes convencionales y un cargador certificado, en lugar de puertos USB públicos; tenga cuidado de comprar fuentes de minoristas desconocidos o importaciones sospechosas, ya que también pueden verse comprometidas de la misma manera.

Fuente y redacción: segu-info.com.ar

Compartir