1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Pourquoi le "Juice Jacking" Est-il soudainement de retour dans les nouvelles?

Pourquoi le "Juice Jacking" Est-il soudainement de retour dans les nouvelles?

KrebsOnSecurity a reçu une belle augmentation de trafic cette semaine grâce aux tweets du Bureau fédéral d'Enquête (FBI) et le Commission Fédérale des Communications (FCC) à propos “jacking de jus, "un terme inventé pour la première fois ici en 2011 pour décrire une menace potentielle de vol de données lorsque l'on branche son appareil mobile dans une borne de recharge publique. On ne sait toujours pas ce qui a pu déclencher les alertes, mais la bonne nouvelle est qu'il y a des choses assez basiques que vous pouvez faire pour éviter d'avoir à vous soucier du juice jacking.

Le 6 avril 2023, le bureau du FBI à Denver a émis un avertissement concernant le détournement de jus tweeter.

"Évitez d'utiliser des bornes de recharge gratuites dans les aéroports, les hôtels ou les centres commerciaux", a averti le bureau du FBI à Denver. “Les mauvais acteurs ont trouvé des moyens d'utiliser les ports USB publics pour introduire des logiciels malveillants et des logiciels de surveillance sur les appareils. Emportez votre propre chargeur et cordon USB et utilisez plutôt une prise électrique.”

Cinq jours plus tard, le Commission Fédérale des Communications (FCC) a émis un avertissement similaire. "Réfléchissez à deux fois avant d'utiliser des bornes de recharge publiques", la FCC tweet. "Les pirates informatiques pourraient attendre d'avoir accès à vos informations personnelles en installant des logiciels malveillants et des logiciels de surveillance sur vos appareils. Cette arnaque est appelée juice jacking.”

Le tweet de la FCC a également fourni un lien vers la page de sensibilisation de l'agence sur le juice jacking, qui a été initialement publié avant les vacances de Thanksgiving en 2019, mais a été mis à jour en 2021, puis à nouveau peu de temps après que le tweet du FBI a été repris par les médias. Les alertes ont été si largement et à bout de souffle couvertes dans la presse qu'une mention de juice jacking a même été mentionnée dans le journal de cette semaine Spectacle tardif avec James Corden.

Le terme juice jacking s'est glissé dans la paranoïa collective des geeks des gadgets à l'été 2011, grâce au titre pour une histoire ici à propos des chercheurs du DÉFCON convention de hackers à Vegas qui avait mis en place une station de recharge mobile conçue pour éduquer les imprudents à la réalité que de nombreux appareils mobiles étaient configurés pour se connecter à un ordinateur et synchroniser immédiatement les données par défaut.

Depuis lors, Apple, Google et d'autres fabricants d'appareils mobiles ont modifié le fonctionnement de leur matériel et de leurs logiciels afin que leurs appareils ne synchronisent plus automatiquement les données lorsqu'on les branche sur un ordinateur avec un câble de chargement USB. Au lieu de cela, les utilisateurs reçoivent une invite leur demandant s'ils souhaitent faire confiance à un ordinateur connecté avant que tout transfert de données puisse avoir lieu.

D'un autre côté, la technologie nécessaire pour mener une attaque sournoise de jacking de jus est devenue beaucoup plus miniaturisée, accessible et bon marché. Et il existe maintenant plusieurs produits que tout le monde peut acheter qui sont conçus sur mesure pour permettre les attaques de juice jacking.

L'exemple le plus connu est probablement le câble OMG, un appareil de piratage à 180 made conçu pour les testeurs d'intrusion professionnels qui ressemble plus ou moins à un câble de chargement USB Apple ou générique. Mais à l'intérieur du câble OMG se trouve une minuscule puce mémoire et un émetteur Wi-Fi qui crée un point d'accès Wi-Fi, auquel l'attaquant peut se connecter à distance à l'aide d'une application pour smartphone et exécuter des commandes sur l'appareil.

Le câble OMG de 180“"."Image: hak5.org.

Jean-Marc est co-fondateur de Sécurité Bélier, et l'un des chercheurs qui a initialement présenté la menace du juice jacking au DEFCON 2011. Markus a déclaré qu'il n'était au courant d'aucun compte rendu public de kiosques de jacking de jus trouvés dans la nature, et a déclaré qu'il ne savait pas ce qui avait motivé la récente alerte du FBI.

Mais Markus a déclaré que le juice jacking est toujours un risque car il est beaucoup plus facile et moins coûteux de nos jours pour les attaquants potentiels de se procurer et de construire l'équipement nécessaire.

"Depuis lors, la technologie et les composants sont devenus beaucoup plus petits et très faciles à construire, ce qui les met entre les mains d'acteurs de la menace moins sophistiqués”, a déclaré Markus. "De plus, vous pouvez maintenant acheter tous ces produits en vente libre. Je pense que le risque est peut-être plus élevé maintenant qu'il ne l'était il y a dix ans, car une population beaucoup plus nombreuse peut maintenant s'en sortir facilement.”

À quel point devrions-nous prendre au sérieux le récent avertissement du FBI? Une enquête par le site de destruction des mythes Toupies suggère que le tweet du FBI n'était qu'une annonce de service public basée sur un avis daté. Snopes a contacté le FBI et la FCC pour demander des données sur l'ampleur de la menace de juice jacking en 2023.

” Le FBI a répondu que son tweet était un "message standard de type PSA" qui découlait de l'avertissement de la FCC", Snopes signaler. Un porte-parole de la FCC a déclaré à Snopes que la commission voulait s'assurer que son avis sur le “juice-jacking”, publié pour la première fois en 2019 et mis à jour plus tard en 2021, était à jour afin de garantir que " les consommateurs disposent des informations les plus récentes."Le responsable, qui a requis l'anonymat, a ajouté qu'il n'avait constaté aucune augmentation du nombre de plaintes de consommateurs concernant le juice-jacking.”

Que pouvez - vous faire pour éviter le juice jacking? Apportez votre propre équipement. Une règle générale en matière de sécurité est que si un adversaire a un accès physique à votre appareil, vous ne pouvez plus faire confiance à la sécurité ou à l'intégrité de cet appareil. Cela vaut également pour les choses qui se branchent sur vos appareils.

Jacking de jus ce n'est pas possible si un appareil est chargé via un adaptateur SECTEUR de confiance, un périphérique de secours sur batterie ou via un câble USB avec uniquement des fils d'alimentation et aucun fil de données présent. S'il vous manque ces éléments et que vous devez toujours utiliser une borne de recharge publique ou un ordinateur aléatoire, éteignez au moins votre appareil avant de le brancher.



>>Plus