Morten Lyhne Petersen
Et nyt angreb på offentlige opladere omgår sikkerhedsspærringer på både iPhones og Android-telefoner.
Forskere fra det tekniske universitet i Graz har dokumenteret en metode, hvor en manipuleret oplader tager kontrol over en tilkoblet telefon hurtigere end et øjeblik. Det rejser igen spørgsmålet om, hvor risikabelt det egentlig er at tanke strøm i lufthavnens ladestander.
Angrebet kaldes ChoiceJacking. Forskerne Florian Draschbacher og Lukas Maar bruger et falsk Bluetooth-tastatur gemt inde i opladeren til at trykke “godkend” på den dialogboks, som ellers skal beskytte mobilen, når et kabel forsøger at overføre data. Den popup, der normalt advarer brugeren, blinker i tests forbi på cirka syv hundrededele af et sekund. Det er hurtigere, end de fleste når at registrere.
En gammel advarsel med ny tyngde
Truslen er ikke ny. I april 2023 advarede FBI’s afdeling i Denver på sociale medier mod at bruge gratis opladningsstationer i lufthavne, på hoteller og i indkøbscentre. Ifølge meldingen havde “bad actors” fundet veje til at indføre malware og overvågningssoftware via offentlige USB-stik.
Til CBS News oplyste afdelingen samtidig, at advarslen ikke kom på baggrund af en konkret hændelse, men var en generel forholdsregel. Det er en del af grunden til, at “juice jacking” i årevis har levet en tilværelse som en overvejende teoretisk trussel. Både iOS og Android har længe krævet, at brugeren manuelt godkender, hvis et kabel skal overføre andet end strøm. Det er præcis det krav, Graz-holdet har fundet vej rundt om.
Patches er på vej, men ikke alle steder
Forskerne ramte ikke bare én producent. Ifølge Heise lykkedes det dem at angribe enheder fra Samsung, Xiaomi og Huawei foruden Apples og Googles egne modeller. På de testede telefoner kunne et manipuleret stik trække data fra enheden og i nogle tilfælde slette indhold.
Apple lukkede hullet i iOS og iPadOS 18.4, mens Google blokerede metoden i Android 15, bemærker sikkerhedsfirmaet Kaspersky. Billedet er dog ikke ensartet. Samsung-telefoner med brugerfladen One UI 7 beder ifølge samme analyse stadig ikke om godkendelse, selv efter opdatering til Android 15. Heise tilføjer, at heller ikke alle varianter af angrebet er stoppet i Android 15, og at de øvrige forventes lappet i en senere version.
Sådan undgår du risikoen
Den enkleste forholdsregel er at undgå offentlige USB-stik helt. Egen lader i en almindelig stikkontakt eller en powerbank i tasken fjerner problemet.
Skal du alligevel bruge et offentligt stik, findes der såkaldte USB-datablokkere — små adaptere, der fjerner datalinjerne, så kun strøm kommer igennem. De koster typisk under et par hundrede kroner og placeres mellem kabel og enhed.
Endelig hjælper det at lade telefonen blive ved med at være låst under opladning. ChoiceJacking forudsætter, at angriberen kan klikke i en dialog, og en låst skærm gør den manøvre væsentligt sværere.
