Foto: Simon Hurrell, Flickr
Na portalu Klix je 28. aprila 2024. godine objavljen članak pod naslovom:
Zastrašujući razlog zašto bi putnici na aerodromima trebali izbjegavati korištenje priključaka za punjenje
U članku se poziva na tvrdnje objavljene na TikTok profilu travelpiratesus u junu 2023. godine.
Jedna korisnica TikToka pod nazivom "travelpiratesus" upozorila je osobe koje putuju avionom da izbjegavaju korištenje priključaka na aerodromima jer oni predstavljaju rizik od krađe podataka.
"Ne stavljajte svoj telefon u to, nemojte tamo puniti telefon. Požalit ćeš", navela je.
Ona tvrdi da je FBI izdao upozorenje o stanicama za punjenje baterija uređaja, koje se nalaze na aerodromima, rekavši kako je riječ o takozvanim "juice jacking", izrazu poznatom kao cyber napad koji se može postići putem USB priključka.
"Hakeri koriste USB priključke na aerodromima kako bi ukrali vaše podatke. Zabavno, zar ne", istakla je.
Federalna komisija za komunikacije (FCC) objasnila je kako hakeri mogu učitati softvere na javne USB stanice za punjenje kako bi pristupili uređajima dok se pune. Hakeri potom mogu koristiti te podatke za pristup online računima ili ih prodati drugima.
Vrlo sličan članak objavio je 1. februara 2024. godine i portal Net (.hr), pozivajući se na New York Post.
'NE OSTAVLJAJTE MOBITELE TU!' / Otkriven zastrašujući razlog zašto bi putnici trebali izbjegavati korištenje priključaka za punjenje u zračnim lukama
Tvrdnje je prenijelo nekoliko portala iz regiona (1, 2, 3).
Slična upozorenja o navodnim opasnostima punjenja telefona na javnim mjestima objavljuju se u medijima iz regiona još od 2019. godine.
Osam mjesta na kojima nikad ne biste smjeli puniti mobitel (24 sata.hr, 8.7.2019)
Šta je “juice jacking”?
“Juice jacking” je engleski izraz kojim se opisuje korištenje “zaražene” javne USB stanice za punjenje elektronskih uređaja kako bi se kompromitovali uređaji koji se spajaju na nju. USB veza koristi se za instaliranje malicioznog softvera ili direktno na stanicu za punjenje ili na kabal koji povezuje uređaj i stanicu. Ovo omogućava prenos podataka s uređaja koji se puni na uređaj osobe koja je instalirala softver.
“Juice jacking” mogao bi se koristiti, između ostalog, za krađu podataka, instalaciju “malwarea” i preuzimanje kontrole nad uređajem.
Koliko je zapravo opasan “juice jacking”?
“Juice jacking” jeste nešto što bi se teorijski moglo jednostavno izvesti. Takvo upozorenje su 2023. na društvenoj mreži X objavili američka Federalna komisija za komunikacije (FCC), denverska kancelarija Federalnog biroa za istrage (FBI) i nadležni organi iz drugih država. Savjetovali su svojim pratiteljima/kama da izbjegavaju punjenje uređaja na dostupnim stanicama za punjenje na aerodromima, u tržnim centrima, hotelima i na sličnim mjestima.
Ipak, kako je u analizi objavljenoj 12. aprila 2023. godine napisao fact-checking portal Snopes, iako tehnička mogućnost postoji, ni FBI ni FCC nisu naveli nikakve podatke o tome koliko je rasprostranjena ova praksa. Za Snopes su iz FBI-a rekli da saopštenje koje su objavili predstavlja standardnu servisnu informaciju objavljenu na osnovu upozorenja FCC-a, dok su im iz FCC-a kazali da nemaju informacije o stvarnim slučajevima “juice jackinga”. I u svom saopštenju iz aprila 2023. godine FCC je naglasio da nisu upoznati ni s jednim stvarnim slučajem. Novinari/ke iz nekoliko publikacija koji/e su istraživali/e ovu temu također nisu uspjeli/e potvrditi nijedan slučaj “juice jackinga” (1, 2, 3).
Kako se navodi u članku portala Vox objavljenom 1. septembra 2023. godine, koncept “juice jackinga” prvi je put javnosti predstavljen 2011. godine na konferenciji o hakovanju i cyber sigurnosti DEF CON. Suosnivač kompanije “Aries Security” Brian Markus i istraživač Robert Rowley uočili su da USB uređaji mogu biti potencijalno opasni u kontekstu cyber sigurnosti i na konferenciji su upriličili demonstraciju koja je pokazala kako bi USB stanice za punjenje mogle biti zloupotrijebljene jer se USB može koristiti i za punjenje i za transfer podataka. Ipak, kako se navodi u članku, nigdje u svijetu nisu zabilježeni slučajevi kompromitovanih stanica za punjenje ili primjeri u kojima su nekome ukradeni podaci na taj način.
Od demonstracije na DEF CON konferenciji, na kojoj je prezentovana ova potencijalna opasnost, mnoge kompanije su unaprijedile svoje proizvode kako bi spriječile takve zloupotrebe. U članku Voxa navodi se:
(...) podaci se mogu razmjenjivati kada namjeravate samo napuniti uređaj. U to vrijeme, 2011. godine, telefoni su se automatski otvarali u obje svrhe, čim se povežu [na USB priključak].
Većina proizvođača telefona od tada je dodala napomenu koja pita korisnika/cu hoće li dozvoliti razmjenu podataka. Tome služi poruka "Vjerujte ovom uređaju" koju dobijete kada telefon priključite na računar. (Ako telefon uključite u nešto što je samo izvor napajanja, ne biste trebali dobiti tu poruku.) Ako odaberete opciju da nemate povjerenja u uređaj, on ne može razmjenjivati podatke dok se telefon puni. Ovo je, inače, upravo način na koji bi ove stvari trebale funkcionisati: neko ukaže na slabu tačku u tehnologiji i njeni proizvođači ili programeri pronađu način da to poprave.
Dakle, “juice jacking”, odnosno zloupotreba javnih stanica za punjenje preko USB-a za kompromitovanje uređaja, tehnički jeste moguć. Ipak, ne postoje potvrđeni slučajevi da se takvo nešto u praksi dešava bilo gdje u svijetu, a većina modernih telefona već ima zaštitu protiv te opasnosti. Ove činjenice nedostaju u člancima koje su regionalni mediji objavili o “juice jackingu”.
Naslovi u kojima se tvrdi da je riječ o “zastrašujućem razlogu” zbog čega ne biste trebali ili “ne biste smjeli” puniti telefon na aerodromu ili drugim mjestima koja imaju stanice za USB punjenje, ili u kojima se tvrdi da je riječ o nekom novom “otkriću”, napisani su senzacionalistički i ne odražavaju sve činjenice o ovoj temi.
Shodno tome, tvrdnju da je “otkriven” razlog zbog kojeg je potrebno izbjegavati korištenje stanica za USB punjenje na aerodromima, da je “juice jacking” zastrašujući razlog za izbjegavanje punjenja i da se uređaji nikada ne bi smjeli puniti na javnim priključcima ocjenjujemo kao manipulisanje činjenicama.
Napomena
7.5.2024. Nakon objave ove analize, portali Radio Sarajevo i Oslobođenje ispravili su svoje članke, zbog čega im dajemo i ocjenu ispravljeno.
9.5.2024. Nakon objave ove analize, portal Hayat ispravio je svoj članak, zbog čega im dajemo i ocjenu ispravljeno.
16.5.2024. Nakon objave ove analize, portal Raport ispravio je svoj članak, zbog čega im dajemo i ocjenu ispravljeno.
(Raskrinkavanje.ba)