Juicejacking: Wie gefährlich ist das Smartphone-Laden an öffentlichen Stationen?

Kürzlich warnten sogar FBI und FCC davor, dass Kriminelle öffentliche USB-Ports nutzen, um Malware und Überwachungssoftware auf Geräten einzuführen.

Autor: Susanne Breuer

Sophos-Experte Paul Ducklin hat mit verschiedenen Smartphones die Probe aufs Exempel gemacht und gibt Tipps zur Sicherheit.

Was ist Juicejacking?

Wenn Sie das Cybersicherheits-Modewort „Juicejacking“ bisher noch nicht gehört haben, keine Panik. Der Begriff hatte Anfang der 2010er-Jahre für Aufmerksamkeit gesorgt, spielt aber auch heute noch eine Rolle im täglichen Smartphone-Leben – und hat aufgrund aktueller Warnhinweise, unter anderem vom FBI, kürzlich überraschend neue Popularität erlangt.

Beginnen wir zunächst mit einer kurzen Erklärung des Begriffs: Menschen, die unterwegs sind, insbesondere an Flughäfen, wo das eigene Telefonladegerät entweder tief im Handgepäck verstaut ist oder bereits im Frachtraum eines Flugzeugs steckt, werden oft von Ladeangst heimgesucht. Das Schreckgespenst vom leeren Akku, das uns seit dem Start mobiler Telefone heimsucht, geistert auch heute noch quietschfidel durch die Smartphone-Welt und führt trotz Powerbank & Co. dazu, dass gerade auf Reisen jede Möglichkeit genutzt wird, den Akku zu füllen – für den Fall, dass in naher Zukunft keine Möglichkeit mehr dazu besteht.

Was passiert beim Juicejacking hinter Ihrem Rücken?

Und hier kommen die Juicehacking-Kriminellen ins Spiel. Smartphones werden allgemein über USB-Kabel aufgeladen, die speziell so konzipiert sind, dass sie sowohl Strom als auch Daten übertragen können. Was ist also, wenn sich am anderen Ende der Ladestation ein Computer befindet, der nicht nur 5 Volt Gleichstrom liefert, sondern zusätzlich hinter Ihrem Rücken versucht, mit Ihrem Telefon zu interagieren? Die einfache Antwort ist, dass Sie nicht sicher sein können.

Genau aus diesem Grund haben sowohl Apple als auch Google schon seit Langem Standardeinstellungen eingeführt, die das Überraschungsmoment aus der Gleichung herausnehmen, indem beim Verbinden mit einem unbekannten Gerät eine Sicherheitsabfrage initiiert wird, ob der neuen Quelle vertraut werden soll. Abgesehen davon, dass Nutzer natürlich immer noch ausgetrickst oder überredet werden können, einem neuen Gerät zu vertrauen, kann also theoretisch kein Datenabruf mehr hinter dem Rücken des Besitzers stattfinden, ohne dass dieser selbst aktiv wird.

Etwas überraschend sind deshalb die letzten Warnungen von FBI und FCC davor, dass Kriminelle öffentliche USB-Ports nutzen, um Malware und Überwachungssoftware auf Geräten einzuführen.

Um Missverständnissen vorzubeugen: es ist auf jeden Fall angebracht, wann immer möglich, das eigene Ladegerät zu verwenden und sich nicht auf unbekannte USB-Stecker oder -Kabel zu verlassen. Nicht zuletzt, weil niemand wissen kann, wie sicher oder zuverlässig der Spannungswandler im Ladekreis ist.

Wie sicher sind die Daten?

Aber was ist mit dem Risiko, dass persönliche Daten heimlich von einem Ladegerät eingesogen werden, das auch als Host-Computer fungiert und versucht, ohne Erlaubnis die Kontrolle über das angeschlossene Gerät zu übernehmen? Haben die Sicherheitsverbesserungen, die im Zuge des Mactans-Juicejacking-Tools im Jahr 2011 eingeführt wurden, immer noch Bestand?

Sophos-Experte Paul Ducklin hat die Probe aufs Exempel gemacht und kommt basierend auf dem Anschließen eines iPhone (iOS 16) und eines Google Pixel (Android 13) an einen Mac (macOS 13 Ventura) und einen Windows 11-Laptop (2022H2-Build) zu dem Ergebnis: Ja, die Abfragen erfüllen weiterhin ihren Zweck. Erstens würde sich kein Telefon beim ersten Anschließen automatisch mit macOS oder Windows verbinden, egal ob gesperrt oder entsperrt. Zudem verweisen Genehmigungs-Popups deutlich darauf hin, dass ein fremdes Gerät zugreifen möchte – was aktiv bestätigt werden muss.

Da aber bekanntlich der Teufel im Detail steckt, können Smartphone-Besitzer trotz dieser guten Sicherheitsbarrieren auf Nummer sicher gehen.

Auf folgende Dinge sollten Sie achten:


  • Vermeiden Sie nach Möglichkeit unbekannte Ladestecker oder -kabel. Selbst eine in gutem Glauben eingerichtete Ladestation hat möglicherweise nicht die gewünschte elektrische Qualität und Spannungsregelung. Vermeiden Sie auch billige Netzladegeräte oder laden Sie vom eigenen Laptop aus auf.
  • Sperren oder schalten Sie Ihr Telefon aus, bevor Sie es an ein öffentliches Ladegerät oder einen fremden Computer anschließen. Dadurch wird das Risiko minimiert, versehentlich Dateien für bösartige Aktivitäten offen zu legen. Zudem ist sichergestellt, dass das Gerät gesperrt ist, wenn es an einer Ladestation für mehrere Benutzer gestohlen wird.
  • Falls Sie ein iPhone besitzen, können Sie erwägen, allen Geräten nicht zu vertrauen. Dadurch wird sichergestellt, dass keine ehemals vertrauenswürdigen Geräte vergessen werden, die Sie möglicherweise auf einer früheren Reise versehentlich eingerichtet haben.
  • Erwägen Sie die Anschaffung eines Power-only-USB-Kabels oder einer Adapterbuchse. „Datenlose“ USB-A-Stecker sind leicht zu erkennen, da sie nur zwei metallische elektrische Anschlüsse in ihrem Gehäuse an den Außenkanten der Buchse haben, anstatt vier Anschlüsse über die Breite. Beachten Sie, dass die inneren Anschlüsse nicht immer sofort sichtbar sind, da sie nicht bis zum Rand der Buchse reichen – daher stellen die Stromanschlüsse zuerst Kontakt her.

Quelle: Sophos

Schon gelesen? Achtung vor Gewinnspielen auf Facebook, bei denen es angeblich Tickets für Zoos, Tierparks oder Freizeitparks zu gewinnen gibt! Mimikama warnt: Zoo-Fake-Gewinnspiele überfluten Facebook
Unterstützen 🤍

FAKE NEWS BEKÄMPFEN

Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!

Mit Deiner Unterstützung via PayPal, Banküberweisung, Steady oder Patreon ermöglichst Du es uns, Falschmeldungen zu entlarven und klare Fakten zu präsentieren. Jeder Beitrag, groß oder klein, macht einen Unterschied. Vielen Dank für Deine Hilfe! ❤️

Mimikama-Webshop

Unser Ziel bei Mimikama ist einfach: Wir kämpfen mit Humor und Scharfsinn gegen Desinformation und Verschwörungstheorien.

Abonniere unseren WhatsApp-Kanal per Link- oder QR-Scan! Aktiviere die kleine 🔔 und erhalte eine aktuelle News-Übersicht sowie spannende Faktenchecks.

Link: Mimikamas WhatsApp-Kanal

Mimikama WhatsApp-Kanal

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.


2) Einzelne Beiträge (keine Faktenchecks) entstanden durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)


Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum

INSERT_STEADY_CHECKOUT_HERE

Kämpfe mit uns für ein echtes, faktenbasiertes Internet! Besorgt über Falschmeldungen? Unterstütze Mimikama und hilf uns, Qualität und Vertrauen im digitalen Raum zu fördern. Dein Beitrag, egal in welcher Höhe, hilft uns, weiterhin für eine wahrheitsgetreue Online-Welt zu arbeiten. Unterstütze jetzt und mach einen echten Unterschied! Werde auch Du ein jetzt ein Botschafter von Mimikama

Mehr von Mimikama

Mimikama Workshops & Vorträge: Stark gegen Fake News!

Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.