Studiuesit në Universitetin e Teknologjisë në Graz kanë treguar se mbrojtjet e prezantuara nga Apple dhe Google kundër sulmeve JuiceJacking nuk janë efektive. Duke përdorur një lloj të ri sulmi, të quajtur ChoiceJacking, kriminelët kibernetikë mund të vjedhin të dhëna nga telefoni juaj inteligjent kur ai është i lidhur me anë të kabllit USB me një pikë publike karikimi.
Si funksionon sulmi ChoiceJacking
Pothuajse 14 vjet më parë, u zbulua sulmi JuiceJacking, i cili lejonte vjedhjen e skedarëve nga një smartphone i lidhur me portën USB të një pike publike karikimi. Kjo mund të ndodhë gjatë karikimit pa dijeninë e përdoruesit. Nga viti pasardhës, Android dhe iOS kërkojnë konfirmim për të aksesuar skedarët ose për të ekzekutuar kodin. Kjo ndodh sepse pajisja mund të funksionojë ose si një host ose si një periferik, por jo si të dyja.
Studiuesit në Universitetin e Teknologjisë në Graz kanë zbuluar se kjo mbrojtje nuk është efektive, pasi bazohet në një supozim të gabuar: domethënë se telefoni inteligjent nuk mund të marrë të dhëna pa konfirmim. Sulmi i ri ChoiceJacking u demonstrua në pajisje nga 8 prodhues duke përdorur tre teknika të ndryshme.
Shkurt, një pikë publike karikimi mund të funksionojë si një host dhe si një pajisje periferike, duke përfituar nga procesi i Ndërrimit të Roleve të të Dhënave të standardit të Dorëzimit të Energjisë USB. Kur vepron si host, shfaqet konfirmimi për aksesin në skedar, ndërsa kur vepron si një pajisje periferike, miraton kërkesën nëpërmjet një tastiere të fshehur Bluetooth.
Apple e rregulloi problemin me iOS/iPadOS 18.4 duke kërkuar një PIN ose fjalëkalim për konfirmim. Google publikoi përditësimin në nëntor 2024 për Android 15. Megjithatë, shumë pajisje Android mbeten të cenueshme sepse nuk do të marrin versionin më të fundit të sistemit operativ. Nëse aktivizohet edhe debugging USB, kriminelët kibernetikë mund të hyjnë në sistemin e skedarëve, të instalojnë aplikacione dhe të ekzekutojnë programe keqdashëse.
Discussion about this post