Neuer Choicejacking-Angriff stiehlt Daten von Telefonen über öffentliche Ladegeräte

Wenn Sie dachten, die Nutzung eines öffentlichen Telefonladegeräts sei sicher, sollten Sie das noch einmal überdenken. Trotz jahrelanger Updates zum Schutz von Smartphones vor „Juice Jacking“-Angriffen haben Cybersicherheitsforscher eine neue Bedrohung identifiziert, die genau diese Sicherheitsvorkehrungen umgeht.

Eine neue Studie zeigt nun, wie Angreifer mittlerweile eine Methode namens Choicejacking verwenden, um Smartphones auszunutzen und sich so unberechtigten Zugriff zu verschaffen, oft ohne dass der Benutzer etwas davon merkt.

Das erste Mal, dass ein Ladevorgang über einen Akkumulator (Juice Jacking) erfolgte, machte es vor über einem Jahrzehnt Schlagzeilen , als Hacker infizierte Ladestationen nutzten, um Daten zu stehlen oder Schadsoftware in angeschlossene Telefone einzuschleusen. Als Reaktion darauf verlangten Smartphone-Betriebssysteme von den Nutzern, dass sie jede Datenübertragung genehmigen, wenn ein Gerät an einen unbekannten Port angeschlossen wird. Diese Änderung gab den Nutzern die Möglichkeit, „Nur laden“ oder „Dateizugriff erlauben“ auszuwählen.

Forscher der Technischen Universität Graz in Österreich haben nun einen Weg gefunden (PDF), diese Sicherheitsabfragen vollständig zu umgehen. Die Technik täuscht dem Telefon vor, der Benutzer habe die Datenübertragung erlaubt, selbst wenn er den Bildschirm gar nicht berührt hat.

Anstatt auf herkömmliche Malware zurückzugreifen, fälscht dieser Angriff USB- oder Bluetooth-Eingabegeräte, um Benutzeraktionen vorzutäuschen. Eine bösartige Ladestation könnte Tastatureingaben simulieren, Eingabepuffer überlaufen lassen oder Gerätekommunikationsprotokolle missbrauchen, um Ihr Telefon unbemerkt in den Datenübertragungs- oder Debug-Modus zu versetzen.

Der gesamte Vorgang dauert weniger als 133 Millisekunden. Das ist schneller, als Sie blinzeln können. Das bedeutet, dass das Telefon reagiert, bevor Sie es überhaupt bemerken.

Adrianus Warmenhoven , Cybersicherheitsberater bei NordVPN, sagte, die Gefahr liege in der Illusion der Kontrolle. „Choicejacking ist besonders gefährlich, weil es ein Gerät so manipuliert, dass es Entscheidungen trifft, die der Benutzer nie beabsichtigt hat, und das alles, ohne dass dieser es merkt“, erklärte er.

Sobald der Zugriff gewährt wurde, kann der Angreifer unbemerkt Fotos durchsuchen, Nachrichten lesen oder Schadsoftware einschleusen.

Der Anstieg von Choicejacking bestätigt, was Cybersicherheitsexperten seit Jahren sagen: Öffentlichen USB-Anschlüssen sollte man nicht trauen. Selbst an Flughäfen, Hotels oder Cafés könnte ein manipuliertes Ladegerät darauf warten, Ihr Gerät zu kapern.

Warmenhoven fügt hinzu: „Mit einer einzigen irreführenden Aufforderung können Angreifer Benutzer dazu verleiten, die Datenübertragung zu aktivieren und so möglicherweise persönliche Dateien und andere sensible Daten preiszugeben.“

Diese Warnung gilt sowohl für Android- als auch für iOS-Nutzer. Einige Plattformen bieten zwar deutlichere Hinweise oder nur die Möglichkeit, Gebühren zu erheben, doch die zugrunde liegenden Schwachstellen bestehen weiterhin, und Angreifer suchen ständig nach Möglichkeiten, diese zu umgehen.

Während die Choicejacking-Technik in einem Forschungspapier detailliert beschrieben wurde, wurde sie zur Präsentation beim 34. USENIX Security Symposium angenommen, das im August 2025 stattfindet.

Dennoch empfehlen Forscher, die Software Ihres Telefons auf dem neuesten Stand zu halten und unbekannte Ladeanschlüsse nach Möglichkeit zu meiden. Auch Vorbereitung ist hilfreich. Eine tragbare Powerbank ist eine der einfachsten Möglichkeiten, unterwegs die Kontrolle zu behalten. Wenn Sie dennoch etwas anschließen müssen, verwenden Sie am besten eine Steckdose mit eigenem Kabel und Adapter anstelle eines öffentlichen USB-Anschlusses, insbesondere wenn dieser verdächtig oder zu kompliziert aussieht.

Bei manchen Geräten können Sie den Modus „Nur laden“ auswählen, der die Datenübertragung verhindert. Aktivieren Sie diesen Modus, falls verfügbar. Angreifer finden zwar immer neue Tricks, aber Vorsicht und Information können Ihnen immer einen Schritt voraus sein.