¿Qué es el “juice jacking” y debo evitar los cargadores de teléfonos públicos?
Juice jacking es un exploit basado en USB que aprovecha los puertos de carga públicos para lanzar un ataque. Puede evitar la amenaza manteniendo sus dispositivos cargados, usando cables especiales de bloqueo de datos y otras medidas.
La batería de tu teléfono está baja nuevamente y estás a millas de distancia del cargador en casa. Hay un quiosco de carga público o tal vez un puerto de carga USB justo en el mostrador de la terminal del aeropuerto en el que estás sentado. Pero, ¿es seguro cargar tu teléfono con un puerto público?
¿Qué es exactamente el robo de jugo?
La extracción de jugos aparece en las noticias cada pocos años, como sucedió recientemente cuando el FBI advirtió a la gente sobre el riesgo—y es posible que se pregunte qué es exactamente y si debería preocuparse por eso.
Ya sea que tenga un iPhone o un teléfono Android, ambos dispositivos tienen algo en común. La fuente de alimentación y el flujo de datos pasan por el mismo cable. No parece un gran problema a primera vista, pero crea un vector de ataque único para que un usuario malintencionado acceda a su teléfono durante el proceso de carga utilizando vulnerabilidades de hardware o software.
Este método de ataque se conoce como "juice jacking", un término acuñado por el periodista de seguridad Brian Krebs mientras escribía sobre el concepto en 2011 después de ver una demostración del exploit en un quiosco de carga comprometido en la conferencia de seguridad Defcon.
Desde 2011, los investigadores de seguridad han instalado un nuevo quiosco comprometido en cada conferencia de seguridad de Defcon posterior para demostrar las vulnerabilidades conocidas y aumentar la conciencia pública sobre el robo de jugo.
A lo largo de los años, ha habido múltiples exploits identificados que apuntan a la carga basada en USB y caen bajo el paraguas de los ataques de extracción de jugo. En 2012, el investigador de seguridad Kyle Osborn demostró un ataque de robo de jugo que podría atacar un teléfono desbloqueado y conectado, robando datos, incluidas las claves de autenticación de Google.
Un año después, en 2013, los estudiantes de posgrado de Georgia Tech demostraron un ataque de prueba de concepto que podía secuestrar un dispositivo iOS a través de un cable de carga USB: el ataque era indetectable para iOS y les dio a los atacantes acceso completo al dispositivo.
En 2014, los investigadores que demostraron el ataque BadUSB destacaron cómo infectar un teléfono Android para que sirviera como una carga útil de BadUSB para acceder a la computadora personal del usuario oa la red corporativa más tarde era un vector de ataque plausible.
En 2016, se presentó otro ataque de prueba de concepto en Defcon que permitía a la persona que controlaba el cargador comprometido monitorear la pantalla de los dispositivos iOS y Android a través de un exploit de espejo de pantalla. Entonces, mientras cargaba su teléfono en la estación comprometida, el atacante podía ver todo lo que estaba haciendo como si estuviera mirando por encima del hombro.
Un exploit aún más preocupante fue presentado en 2018 por investigadores de Symantec. El exploit que descubrieron comenzó con el robo de jugo, pero persistió incluso después de que te desconectaste del cargador comprometido. Llamaron al vector de ataque "TrustJacking" porque explotaba el protocolo de enlace entre un dispositivo iOS e iTunes, lo que permitía al actor malintencionado mantener una conexión con el dispositivo iOS a través de Wi-Fi incluso después de desconectar el dispositivo.
¿Deberías preocuparte por el robo de jugo?
Ciertamente no somos alarmistas aquí en How-To Geek, y siempre te lo explicamos directamente. Actualmente, el robo de jugo es una amenaza teórica, sin que se hayan informado ataques en estado salvaje. Los investigadores de seguridad descubren un exploit y los fabricantes lo reparan, enjuagan y repiten.
Las posibilidades de que los puertos de carga USB en el quiosco de su aeropuerto local sean en realidad un frente secreto para una computadora que extrae datos e inyecta malware son muy bajas. Sin embargo, esto no significa que deba simplemente encogerse de hombros y olvidarse rápidamente del riesgo de seguridad muy real que representa conectar su teléfono inteligente o tableta a un dispositivo desconocido.
Hace años, cuando la extensión de Firefox Firesheep era la comidilla de la ciudad en los círculos de seguridad, era precisamente la amenaza en gran parte teórica pero aún muy real de una extensión de navegador simple que permitía a los usuarios secuestrar las sesiones de usuario del servicio web de otros usuarios en el local. Nodo Wi-Fi que condujo a cambios significativos.
Los usuarios finales comenzaron a tomarse más en serio la seguridad de su sesión de navegación (utilizando técnicas como túneles a través de sus conexiones de Internet domésticas o conexión a VPN remotas), y las principales compañías de Internet realizaron importantes cambios de seguridad (como cifrar toda la sesión del navegador y no solo el inicio de sesión).
Precisamente de esta manera, hacer que los usuarios sean conscientes de la amenaza del robo de jugo disminuye la posibilidad de que las personas sean secuestradas y aumenta la presión sobre las empresas para mejorar las prácticas de seguridad.
Entonces, ¿nuestra opinión sobre el asunto? El peor momento para enterarse de un exploit es después de haber sido atacado por el exploit. Y la mejor manera de evitar ser objetivo de un exploit es participar en las mejores prácticas que minimicen su riesgo. El robo de jugo puede no ser un problema generalizado (y fácil de implementar) como las estafas de fraude bancario por mensajes de texto, pero eso no significa que deba descartar el riesgo potencial por completo.
Cómo evitar los ataques de robo de jugo
La mejor manera de evitar terminar en el lado perdedor de un intento de robo de jugo es usar algunas prácticas simples para garantizar que su teléfono nunca tenga una interacción "desnuda" con una estación de carga pública.
Primero, veamos algunas de las mejores prácticas que evitan la exposición a puertos inseguros en primer lugar, y luego algunos consejos para evitar problemas al usar una estación o puerto de carga.
Mantenga su teléfono actualizado
Antes de compartir otros consejos, el mejor consejo de seguridad del teléfono con respecto al robo de datos (y casi todos los demás problemas de seguridad de los teléfonos inteligentes que existen) es mantener su teléfono actualizado.
Como mencionamos anteriormente, las hazañas de extracción de jugo son algo real, pero no hay informes de que se hayan implementado con éxito en la naturaleza. Cuando los investigadores de seguridad muestran el exploit, se parchea. No obtendrá los parches de explotación si no actualiza su teléfono.
Mantenga la batería de su dispositivo cargada
La precaución más fácil es mantener su dispositivo móvil cargado. Acostúmbrese a cargar su teléfono en su hogar y oficina cuando no lo esté usando activamente o sentado en su escritorio trabajando.
Cuantas menos veces te encuentres mirando una barra roja de batería del 3% cuando viajas o estás fuera de casa, mejor. Use los consejos de administración de la batería para su dispositivo iPhone o Android para extender su tiempo entre cargas.
Lleva un cargador contigo
Los cargadores de teléfonos son tan pequeños y livianos que apenas pesan más que el cable USB al que se conectan, y los avances en la tecnología de los cargadores significan que no estás sacrificando la velocidad y la potencia de carga si optas por uno pequeño. Los cargadores de nitruro de galio (GaN) son pequeños pero potentes, puede agregar un cargador de 30 W a su bolso de trabajo o de viaje y ni siquiera sentirlo.
Así que coloque un cargador allí para cargar su propio teléfono y mantener el control sobre el puerto de datos. (Y si todavía usa un cargador USB antiguo de un teléfono que reemplazó hace mucho tiempo, definitivamente es hora de actualizar).
Lleva un cargador portátil
No muchos dispositivos tienen baterías intercambiables por el usuario en estos días, por lo que si desea seguir usando su dispositivo sin depender de los puertos de carga en el aeropuerto (o no puede encontrar un buen lugar para enchufar su cargador personal) necesitará un cargador portátil.
Algo económico y compacto como el Anker 313 Power Bank debería ser suficiente. Con 10,000 mAh de duración de la batería, cargará su teléfono inteligente promedio por completo 2 o 3 veces antes de agotarse. Eso es jugo más que suficiente para jugar en su teléfono en el aeropuerto y en el vuelo en sí.
Use un cable o adaptador de solo alimentación
Lo ideal es que nunca ate físicamente su teléfono a un dispositivo sobre el que no tenga control total. Pero si usa un puerto de carga en un dispositivo que no controla, una buena medida provisional es usar un cable o adaptador USB que interrumpa las conexiones de datos, dejando solo las conexiones de carga disponibles.
Los adaptadores USB de bloqueo de datos, también llamados informalmente "condones USB", son la forma más conveniente de hacerlo porque puede usar cualquiera de sus cables existentes con ellos y detendrán cualquier conexión de datos entre el teléfono y el puerto de carga comprometido. .
Bloqueador de datos USB PortaPow
Este sencillo adaptador de puerto de bloqueo de datos garantiza que solo se envíe energía (¡y no malware!) a través de su cable de carga.
Una de las empresas más conocidas en el nicho de mercado es PortaPow. Tienen un adaptador USB-A a USB-A, un adaptador USB-A a USB-C y un adaptador USB-C a USB-C. Dado que la mayoría de los puertos de carga públicos siguen siendo USB-A, querrá comprar un adaptador USB-A a USB-A o C según sus necesidades.
Vale la pena señalar que hay una gran desventaja en el uso de un cable o adaptador de solo alimentación. Los estándares de carga rápida USB utilizan la conexión de datos para identificar el dispositivo y negociar una tarifa de carga. ¿Sin cita? Sin negociación, y la tasa de carga predeterminada es la velocidad USB básica. Es mejor que nada, pero probablemente será más lento de lo que estás acostumbrado si normalmente usas un cargador rápido en casa.
Bloquea o apaga tu teléfono
No use su teléfono mientras se carga si quiere jugar de manera más segura con un puerto de carga público. Mantenga el teléfono bloqueado o, mejor aún, apáguelo.
Es mucho mejor evitar el uso de un puerto desconocido por completo, pero si lo hace, mantener el teléfono bloqueado o apagado ayuda a evitar vulnerabilidades simples que responden si usted acepta una conexión (o una vulnerabilidad de software que solo está disponible si el teléfono está desbloqueado o encendido). en).
Usar carga inalámbrica
Si su teléfono es compatible con la carga inalámbrica y se encuentra en un lugar con almohadillas de carga inalámbrica cuidadosamente integradas en el mostrador o en los reposabrazos, tiene suerte.
La carga inalámbrica es intrínsecamente libre de datos, y no hay ningún riesgo involucrado en dejar caer su teléfono en un logotipo de carga inalámbrica en una mesa de Starbucks en el aeropuerto.
En última instancia, la mejor defensa contra un dispositivo móvil comprometido es la conciencia. Mantenga su dispositivo cargado, habilite las funciones de seguridad proporcionadas por el sistema operativo (sabiendo que no son infalibles y que todos los sistemas de seguridad pueden ser explotados) y evite conectar su teléfono a estaciones de carga y computadoras desconocidas de la misma manera que sabiamente evita abrir archivos adjuntos de remitentes desconocidos.