Juice Jacking ist ein Cyberangriff, der von öffentlichen Handyladestationen ausgeht. Cyberkriminelle manipulieren Ladeanschlüsse, um Schadsoftware auf Smartphones, Tablets oder andere mobile Endgeräte einzuschleusen.
Erfahren Sie, warum Juice Jacking so gefährlich ist und wie Sie sich davor erfolgreich schützen können.
Unser Beitrag über Juice Jacking im Überblick:
Was ist Juice Jacking?
Traditionell lassen sich öffentlich zugängliche USB-Anschlüsse zum Beispiel an Flughäfen, in Hotels, an Bahnhöfen oder in öffentlichen Verkehrsmitteln wie Bussen und Bahnen finden. Aber auch immer mehr Firmen und Institutionen wie Museen, Hochschulen und Universitäten bieten die Nutzung öffentlicher USB-Ladestationen an.
Als Juice Jacking bezeichnet man Cyberangriffe, die von solchen öffentlichen Handyladestationen ausgehen. Cyberkriminelle können hierbei über die Stromzufuhr eines Smartphones, Tablets oder eines anderen mobilen Endgeräts diese kompromittieren und Schadsoftware einzuschleusen. Hierfür manipulieren sie die Ladeanschlüsse. Über den entsprechenden USB-Port wird dann nicht nur das entsprechend angeschlossene Endgerät aufgeladen. Sondern es wird auch beim Anschließen eine unerwünschte Datenübertragung gestartet.
Wichtig: Sind Sie Opfer von Juice Jacking geworden und ist Ihr Smartphone oder womöglich sogar Ihr Firmenhandy kompromittiert worden? Dann sollten Sie unverzüglich handeln. Nehmen Sie am besten direkt Kontakt zu einem PC-SPEZIALIST in Ihrer Nähe auf und lassen Sie Ihr Gerät untersuchen.
Ins Deutsche übersetzt bedeutet Juice Jacking in etwa so viel wie „den Saft kapern“. Eingeführt wurde der Begriff von IT-Journalist Brian Krebs. Pexels/Anete Lusina
Woher kommt der Begriff Juice Jacking?
Bekannt wurde Juice Jacking bei der in Las Vegas stattfindenden Hackerveranstaltung DEFCON im Jahr 2011. Das Unternehmen Wall of Sheep hatte vermeintliche kostenlos nutzbare Handyladestationen aufgebaut, die bei Benutzung jedoch die Meldung „[Name] should not trust public charging stations with their devices.“ am Endgerät anzeigen ließen. Ins Deutsche übersetzt lautet der Text: „[Name] sollte seine Geräte nicht öffentlichen Ladestationen anvertrauen.“
IT-Journalist Brian Krebs veröffentlichte auf seiner Website zur Cybersicherheit einen Artikel zu der Gefahr durch öffentliche Ladestationen. Er hatte von den Handyladestationen von Wall of Sheep mitbekommen und gab der Angriffsmethode den Namen „juice-jacking“.
Der Begriff „Juice Jacking“ setzt sich aus zwei Teilen zusammen: „Juice“ bedeutet „Saft“ im Sinne von „Strom“ und „Jacking“ ist die Kurzform von „Hijacking“, was so viel wie „kapern“ oder „entführen” bedeutet. Während das Gerät also mit Strom versorgt wird, wird es gleichzeitig angegriffen, gekapert und möglicherweise mit Schadsoftware infiziert.
Gefahr durch Juice Jacking
Juice Jacking ist ein internationales Sicherheitsproblem, vor dem immer wieder gewarnt wird. Im November 2019 veröffentlichten die staatlichen Behörden der US-Metropole Los Angeles eine dringende Warnung vor öffentlichen Ladestationen für Smartphones mit USB-Anschluss.
Im April 2023 folgte die Veröffentlichung einer nationalen Warnung durch das Federal Bureau of Investigation (FBI) und das Federal Communications Commision (FCC) vor Juice Jacking: „Travellers should avoid using public USB power charging stations in airports, hotels and other locations because the may contain dangerous malware.“ Ins Deutsche übersetzt bedeutet das in etwa so viel, wie, dass Reisende die Nutzung öffentlicher USB-Ladestationen in Flughäfen, Hotels und anderen Orten vermeiden sollten, da diese möglicherweise gefährliche Malware bereithalten.
Vor allem öffentlich verfügbare Handyaufladestationen und Handyladekabel könnten von Kriminellen manipuliert sein. Bild: Pexels/Markus Winkler
Exkurs: Gefahr durch USB-Anschlüsse
Im Jahr 2013 zeigten die Sicherheitsforscher Karsten Nohl und Jakob Lell von SRLabs auf einer Black-Hat-Konferenz für Informationssicherheit mit der Anwendungssoftware Mactans, wie Kriminelle Geräte mittels einer manipulierten USB-Ladestation infiziert werden können. Sie demonstrierten einen Angriff über ein mit dem Computer verbundenes Smartphone oder Tablet, um zu zeigen, wie verwundbar über USB-Port verbundene Systeme sind. Dabei lieferten sie auch einen Beispielcode für Firmware, der Android-basierte Systeme infizieren kann.
BadUSB ist ein von dem deutschen Forscherteam um Nohl und Lell geprägter Begriff, der USB-Geräte mit veränderter Firmware bezeichnet. BadUSB werden eingesetzt, um einen Schadcode zu injizieren. Dieser Angriff wird hauptsächlich durch die Tatsache ermöglicht, dass der vermeintlich nur einmalig beschreibbare Firmware-Speicherbereich von USB-Geräten neu beschrieben und in dem freien Speicherbereich zusätzlicher Code hinzugefügt werden kann. Somit ist es möglich, das Verhalten des USB-Gerätes zu verändern und zu erweitern. Es wäre zum Beispiel möglich, dass das USB-Gerät nach Einstecken einen Keylogger installiert, der jeglichen Tastenanschlag aufzeichnet und einem Angreifer übermittelt.
Schutz vor Juice Jacking
Aktuelle Smartphone-Generationen haben einen integrierten Softwareschutz vor Juice-Jacking-Angriffen. Werden Smartphones mit einem Datenträger wie einem Computer verbunden, fragt der Softwareschutz nach der Vertrauenswürdigkeit der Datenquelle.
Beim Anschluss an Ladekabel, die auch Datenübertragung unterstützen, erscheint in der Regel die Frage, ob „Daten austauschen“ oder „Nur laden“ erwünscht ist. Vor allem, wenn man sein Handy an öffentlichen USB-Ports aufladen möchte, sollte man, wenn überhaupt, wenn ein Ladekabel einsetzen, das keine Datenverbindungen unterstützen. Eine alternative Möglichkeit ist die Nutzung eines USB-Data-Blockers (bzw. eines sogenannten USB-Kondoms oder SyncStop), kleine Adapter für USB-Stecker, mit denen nur die Kontakte für die Energieversorgung verbunden sind, nicht aber die Kontakte für Datenweiterleitungen.
Noch sicherer ist es, sollte man mal länger unterwegs sein, das Smartphone direkt an der eigenen Powerbank aufzuladen. USB-Powerbanks über öffentliche Ladegeräte aufzuladen, dürfte in den allermeisten Fällen unproblematisch sein. Benötigen Sie passendes IT-Equipment? Dann ist PC-SPEZIALIST in Ihrer Nähe der richtige Ansprechpartner für Sie.
_______________________________________________
Quellen: Privacy-Handbuch, heise online, Wikipedia, Pexels/Steve Johnson (Header-Bild)
Schreiben Sie einen Kommentar