Хакеры взламывают смартфоны на iOS и Android с помощью зарядных устройств

В течение последних лет меры безопасности в iOS и Android, направленные на защиту от атак через зарядные устройства, оказались не столь надёжными, как предполагалось. Исследователи из Грацского технического университета выявили уязвимость, которая позволяет обойти требование подтверждения подключения и получить доступ к данным устройств без согласия пользователей.

Так называемая атака «juice jacking», впервые описанная в 2011 году, подразумевает использование модифицированных зарядных устройств для тайной кражи данных с телефонов. В ответ на эту угрозу Apple и Google с 2012 года ввели необходимость ручного подтверждения подключения. Однако исследование показало, что злоумышленники могут автоматически внедрять ввод через USB, обходя защиту без участия пользователя.

Новая атака, получившая название ChoiceJacking, позволяет вредоносным устройствам подделывать нажатие кнопок подтверждения при подключении. Исследование продемонстрировало успешную эксплуатацию этой уязвимости на всех протестированных устройствах от восьми производителей, включая шестерых лидеров рынка мобильных телефонов.

Apple уже обновила механизм подтверждения в iOS/iPadOS 18.4, добавив обязательную проверку через ввод PIN-кода или пароля. Аналогичные меры приняты в Android 15, но из-за фрагментации экосистемы многие устройства под управлением Android остаются без защиты от ChoiceJacking.

Эксперты подчёркивают, что атаки позволяют не только получать доступ к файлам, но и инициировать дальнейшие действия на устройствах через подделку пользовательского ввода. В свете выявленных рисков пользователям рекомендуется использовать только надёжные