Morten Lyhne Petersen
Forskere har vist, at en manipuleret oplader kan stjæle data fra både iPhone og Android uden brugerens samtykke.
Angrebet, som er døbt ChoiceJacking, gør det muligt for en præpareret USB-oplader at give sig selv adgang til en telefons billeder, beskeder og dokumenter, uden at ejeren rører skærmen. Selve overtagelsen tager ned til 133 millisekunder.
Resultaterne kommer fra forskere ved TU Graz i Østrig, der præsenterede arbejdet på cybersikkerhedskonferencen USENIX Security Symposium i august 2025. Forsøgene blev udført på 11 modeller fra otte producenter, og samtlige enheder kunne kompromitteres.
Sådan snyder den falske oplader
Moderne telefoner viser normalt et pop op-vindue, hvor brugeren skal vælge mellem “kun opladning” og dataoverførsel, før en USB-enhed får adgang. Det var netop denne beskyttelse, der blev indført efter de første advarsler om såkaldt juice jacking for over et årti siden.
ChoiceJacking omgår beskyttelsen ved at lade opladeren udgive sig for at være et tastatur eller en mus over USB eller Bluetooth, og dermed selv klikke “ja” til adgangen. Forskerne beskriver teknikken som “en ny familie af USB-baserede angreb på mobile enheder, ChoiceJacking, som er det første til at omgå de eksisterende juice jacking-beskyttelser”, fremgår det af deres oplæg.
Tre forskellige metoder er beskrevet i forskningen. En udnytter Android Open Accessory Protocol til at injicere tastetryk, en anden bygger på et timing-trick, der placerer et accept-klik i kø før vinduet vises, og en tredje opretter en Bluetooth-forbindelse via USB-kablet.
Store producenter ramt
De testede enheder kom fra Samsung, Xiaomi, Huawei, Oppo, Vivo, Honor, Google og Apple. Ifølge forskergruppen har samtlige berørte virksomheder, på nær en enkelt, bekræftet sårbarheden og er i gang med at rulle rettelser ud.
På to af fabrikanternes telefoner lykkedes det endda at hente filer ud af enheder, der var låst. Forskerne udviklede desuden en metode til at aflæse strømforbruget i ledningen og dermed afgøre, hvornår en bruger ikke kigger på skærmen, eksempelvis under en telefonsamtale, så angrebet kan udføres ubemærket.
Myndigheder har advaret i årevis
Forskningen kommer i kølvandet på fornyede advarsler fra amerikanske myndigheder mod offentlige USB-stik. Det amerikanske transportsikkerhedsagentur TSA gentog tidligere på året sin opfordring til ikke at sætte mobiltelefoner direkte i ladestik i lufthavne. “Hackere kan installere malware på USB-stik. Når du er i en lufthavn, så lad være med at sætte din telefon direkte i en USB-port”, lød advarslen fra TSA.
Den amerikanske telestyrelse FCC har i en årrække anbefalet rejsende at bruge almindelige stikkontakter, medbringe egne kabler eller benytte såkaldte data-blokerende kabler, der fysisk afbryder dataforbindelsen og kun lader strøm passere. Myndigheden påpeger samtidig på sin vejledningsside om juice jacking, at der endnu ikke er dokumenterede tilfælde af angrebsmetoden i den virkelige verden.
Med ChoiceJacking har de teoretiske bekymringer dog fået ny tyngde, fordi angrebet for første gang viser, at de indbyggede skærmadvarsler kan sættes ud af spil uden hjælp fra brugeren.
