Morten Lyhne Petersen
Forskere fra TU Graz har vist, at den indbyggede beskyttelse mod ondsindede USB-opladere kan narres på et øjeblik.
Angrebet rammer telefoner fra de seks største mobilproducenter, og på to af mærkerne kan en oplader trække filer ud, selv mens skærmen er låst.
Teknikken kaldes ChoiceJacking og er udviklet af et hold ved Graz Tekniske Universitet (TU Graz) i Østrig. Den blev præsenteret på sikkerhedskonferencen 34th USENIX Security Symposium i august 2025 og er ifølge forskerne den første metode, der omgår de beskyttelser, Apple og Google har lagt ind mod den klassiske trussel “juice jacking”.
Juice jacking er det navn, sikkerhedsekspert Brian Krebs gav fænomenet tilbage i 2011: en offentlig USB-oplader programmeres til at oprette en dataforbindelse til den telefon, der sættes til. Derfra kan filer læses eller apps kontrolleres. Både iOS og Android har i årevis krævet, at brugeren aktivt godkender den slags forbindelser med et tryk på skærmen.
Telefonen trykker selv ja
Den godkendelse er præcis det, ChoiceJacking sætter ud af spil. Opladeren udgiver sig over USB eller Bluetooth for at være et tastatur eller en mus og sender selv de tastetryk, der godkender dataadgangen. På den måde bekræfter telefonen forespørgslen på sine egne vegne, uden at brugeren rører ved noget.
Ifølge forskningsgruppen ved TU Graz lykkedes angrebet på alle testede enheder fra otte producenter, herunder de seks største på verdensmarkedet. På to af mærkerne kunne opladeren hente billeder, dokumenter og app-data ud, også når telefonen var låst. I gunstige tilfælde tager hele angrebet kun 133 millisekunder, oplyser forskerne.
Forskerne har orienteret både Apple, Google og de berørte producenter, og flere af dem er ifølge gruppen i gang med at lukke hullerne.
Myndighederne har advaret i årevis
Selve risikoen ved offentlige USB-stik er ikke ny. FBI’s Denver-kontor sendte 6. april 2023 en kort, men kontant advarsel ud: “Undgå at bruge gratis ladestationer i lufthavne, hoteller eller indkøbscentre,” skrev kontoret og opfordrede rejsende til at have egen oplader og kabel med og bruge en almindelig stikkontakt i stedet, refererer CBS News.
Den amerikanske telemyndighed FCC har på sin side i flere år haft en rådgivningsside om emnet, men har samtidig oplyst, at den ikke har kunnet dokumentere konkrete angreb i virkeligheden. Den observation deler Malwarebytes, og som amerikanske medier har bemærket, er juice jacking i praksis stadig nærmest en teoretisk trussel.
ChoiceJacking ændrer dog regnestykket, fordi tærsklen for angrebet falder markant. Når en oplader selv kan klare godkendelsen, behøver offeret ikke at lave en fejl.
Sådan beskytter du dig
Anbefalingerne er fortsat enkle og uafhængige af, om en producent får lukket hullet. Forskerne og myndighederne peger på de samme værnemidler:
- Brug egen powerbank eller egen strømadapter i en almindelig stikkontakt.
- Brug et USB-kabel med afbrudte datapins, ofte solgt som “data blocker” eller “USB-kondom”.
- Sluk telefonen, før den sættes til en ukendt oplader.
For Apple- og Android-brugere er den vigtigste praktiske ændring, at den lille pop-up, der spørger om man vil tillade dataadgang, ikke længere kan stå alene som forsvar. Indtil mobilproducenterne har rullet rettelser ud, er det fysiske valg af strømkilde det mest pålidelige værn.
