Хакери зламують смартфони на iOS і Android за допомогою зарядних пристроїв

Протягом останніх років заходи безпеки в iOS і Android, спрямовані на захист від атак через зарядні пристрої, виявилися не настільки надійними, як передбачалося. Дослідники з Грацького технічного університету виявили вразливість, яка дає змогу обійти вимогу підтвердження підключення та отримати доступ до даних пристроїв без згоди користувачів.

Так звана атака “juice jacking”, вперше описана в 2011 році, передбачає використання модифікованих зарядних пристроїв для таємної крадіжки даних із телефонів. У відповідь на цю загрозу Apple і Google з 2012 року ввели необхідність ручного підтвердження підключення. Однак дослідження показало, що зловмисники можуть автоматично впроваджувати введення через USB, обходячи захист без участі користувача.

Нова атака, що отримала назву ChoiceJacking, дає змогу шкідливим пристроям підробляти натискання кнопок підтвердження під час підключення. Дослідження продемонструвало успішну експлуатацію цієї вразливості на всіх протестованих пристроях від восьми виробників, включно з шістьма лідерами ринку мобільних телефонів.

Apple вже оновила механізм підтвердження в iOS/iPadOS 18.4, додавши обов’язкову перевірку через введення PIN-коду або пароля. Аналогічних заходів вжито в Android 15, але через фрагментацію екосистеми багато пристроїв під управлінням Android залишаються без захисту від ChoiceJacking.

Експерти підкреслюють, що атаки дають змогу не тільки отримувати доступ до файлів, а й ініціювати подальші дії на пристроях через підробку користувацького введення. У світлі виявлених ризиків користувачам рекомендується використовувати тільки надійні