Desde hace años los móviles Android y también los iPhone tienen un enemigo común, los cargadores públicos que se colocan en la calle, aeropuertos e incluso en bares. Con cada actualización han tenido que implementar mejoras para evitar que el Juice Jacking afectase a los usuarios y ahora ha nacido una versión mejorada. El ataque que se salta todos los controles que se habían conseguido implementar recibe el nombre de Choic Jacking y es más peligroso que nunca.
Los investigadores de la Universidad Tecnológica de Graz, en Austria han descubierto un fallo grave de seguridad que demuestra como a través de los hosts USB, a pesar de las medidas de protección creadas por los desarrolladores de software para móviles, han podido generar un ataque capaz de tomar el control de los teléfonos con una conexión de datos. Un aviso para que las grandes empresas tecnológicas tomen medidas, porque un ataque de este tipo podría poner en jaque las cuentas bancarias, fotos e incluso las contraseñas de todos los teléfonos.
En el propio informe del estudio llamado ChoiceJacking: Compromising Mobile Devices through Malicious Charging Stations, expresan que los ataques que han puesto a prueba han tenido un rotundo éxito. Han conseguido extraer a través de cables de carga falsos; desde imágenes, documentos e incluso datos de las propias aplicaciones del teléfono. Se ha puesto a prueba en 8 teléfonos diferentes y el resultado ha sido que en todos los casos se ha conseguido extraer información sensible. Sin mencionar la marca y modelo de móvil, aclaran que en 6 de los casos se tratan de teléfonos con una elevada cuota de mercado.
Apple y Google han aplicado medidas, pero no son suficientes
Como suele ocurrir con este tipo de informes de seguridad que descubren los expertos en seguridad, se enviaron todos los datos a las principales compañías de teléfonos y estas aplicaron medidas de protección para que los móviles que tenemos en mano no se vean afectados o al menos para ponérselo más difícil a los atacantes. Sin embargo, aunque Apple aplicó los cambios en iOS 18.4 y Google hizo lo propio con Android 15 en el parche del mes de noviembre, no todos los teléfonos están a salvo.
Todos aquellos móviles antiguos que ya no reciben parches de seguridad siguen estando protegidos, la fragmentación del sistema operativo provoca esta situación. Por eso, si una persona con un móvil de 2022, que ya no tiene actualizaciones en la mayoría de los casos, conecta su teléfono al cargador del aeropuerto, puede estar expuesto fácilmente ante el Choice Jacking.
Una vez que el dispositivo está conectado al cable, los atacantes tienen un doble canal de acceso al teléfono, suplantando la identidad del usuario para conseguir una serie de permisos específicos y tomar el control de todos los archivos. Sin embargo, como demuestran los estudios, este no es el único método que tienen a su disposición los hackers, existen otros métodos de acceso a todo lo que se almacena uno de ello con el protocolo de acceso abierto de Android, donde solamente con un mensaje pueden conseguir todo lo que hay en el dispositivo.
Esto nos lleva a recomendar encarecidamente no activar en ningún caso la depuración USB si no conocemos perfectamente el puerto USB al que no estamos conectando. Si realmente tenemos que mover archivos a un ordenador público o de una persona en la que no confiamos, es mejor hacerlo con el protocolo de transferencia de imágenes (PTP) y el protocolo de transferencia de medios (MPTP), así solo podrá hacer lectura y escritura de los archivos.
En definitiva, la seguridad vuelve a estar en el punto de mira y si pensamos que utilizar cargadores públicos había vuelto a ser seguro por las muchas medidas aplicadas, ha quedado demostrado que no es así, es mucho mejor llevar con nosotros una powerbank y evitarnos problemas, ya que no todos los smartphones están a salvo.