Nuovo attacco di choicejacking ruba dati dai telefoni tramite caricabatterie pubblici

Se pensavi che usare un caricabatterie pubblico fosse sicuro, è ora di ricrederti. Nonostante anni di aggiornamenti volti a proteggere gli smartphone dagli attacchi di "juice jacking" , i ricercatori di sicurezza informatica hanno identificato una nuova minaccia che aggira proprio queste misure di sicurezza.

Un nuovo studio illustra come gli aggressori stiano utilizzando un metodo chiamato Choicejacking per sfruttare gli smartphone e ottenere accessi non autorizzati, spesso senza che l'utente si accorga dell'accaduto.

Il juice jacking ha fatto notizia per la prima volta oltre un decennio fa, quando gli hacker hanno utilizzato stazioni di ricarica infette per rubare dati o iniettare malware nei telefoni connessi. In risposta, i sistemi operativi degli smartphone hanno iniziato a richiedere agli utenti di approvare qualsiasi trasferimento di dati quando un dispositivo viene collegato a una porta sconosciuta. Questa modifica ha dato agli utenti la possibilità di scegliere "solo ricarica" o consentire l'accesso ai file.

Ma i ricercatori dell'Università Tecnica di Graz, in Austria, hanno trovato un modo (PDF) per eludere completamente questi messaggi di sicurezza. La tecnica inganna i telefoni facendogli credere che l'utente abbia autorizzato il trasferimento dei dati, anche quando non ha toccato lo schermo.

Invece di affidarsi al malware tradizionale, questo attacco falsifica i dispositivi di input USB o Bluetooth per simulare le azioni dell'utente. Una stazione di ricarica dannosa potrebbe simulare input da tastiera, sovraccaricare i buffer di input o abusare dei protocolli di comunicazione del dispositivo per attivare silenziosamente la modalità di trasferimento dati o di debug del telefono.

L'intero processo richiede meno di 133 millisecondi. È più veloce di un battito di ciglia, il che significa che il telefono reagisce prima ancora che tu possa accorgertene.

Adrianus Warmenhoven , consulente per la sicurezza informatica di NordVPN, ha affermato che il pericolo risiede nell'illusione di controllo. "Il choicejacking è particolarmente pericoloso perché manipola un dispositivo inducendolo a prendere decisioni che gli utenti non avevano previsto, senza che se ne rendano conto", ha spiegato.

Una volta ottenuto l'accesso, l'aggressore può tranquillamente sfogliare foto, leggere messaggi o installare software dannoso.

L'aumento del choicejacking rafforza ciò che gli esperti di sicurezza informatica affermano da anni: non ci si dovrebbe fidare delle porte USB pubbliche. Anche in aeroporti, hotel o bar, un caricabatterie compromesso potrebbe essere in attesa di dirottare il tuo dispositivo.

Warmenhoven aggiunge: "Con un singolo prompt ingannevole, gli aggressori possono indurre gli utenti ad abilitare il trasferimento dei dati, esponendo potenzialmente file personali e altri dati sensibili".

Questo avviso vale sia per gli utenti Android che per quelli iOS. Sebbene alcune piattaforme offrano messaggi più visibili o impostazioni di sola ricarica, le vulnerabilità sottostanti persistono e gli aggressori sono sempre alla ricerca di modi per aggirarle.

Sebbene la tecnica Choicejacking sia stata descritta in dettaglio in un documento di ricerca, è stata accettata per la presentazione al 34° USENIX Security Symposium , che si terrà nell'agosto 2025.

Tuttavia, i ricercatori suggeriscono di mantenere aggiornato il software del telefono ed evitare porte di ricarica sconosciute ogni volta che è possibile. È anche utile essere preparati. Portare con sé un power bank portatile è uno dei modi più semplici per mantenere il controllo quando si è fuori casa. Se è necessario collegarlo, provare a utilizzare una presa a muro con cavo e adattatore personali invece di una porta USB pubblica, soprattutto quelle dall'aspetto sospetto o eccessivamente complicate.

Alcuni dispositivi consentono di selezionare la modalità "solo ricarica", che impedisce il trasferimento di dati. Attivala se disponibile. Mentre gli aggressori continuano a trovare nuovi trucchi, rimanere prudenti e informati può comunque farti stare un passo avanti.