Nieuwe Choicejacking-aanval steelt gegevens van telefoons via openbare opladers

Als u dacht dat het gebruik van een openbare telefoonoplader veilig was, is het tijd om het te herzien. Ondanks jarenlange updates gericht op het beschermen van smartphones tegen 'juice jacking'-aanvallen , hebben cybersecurityonderzoekers een nieuwe dreiging geïdentificeerd die juist deze beveiliging omzeilt.

Uit een nieuw onderzoek blijkt hoe aanvallers nu een methode genaamd Choicejacking gebruiken om smartphones te misbruiken en ongeautoriseerde toegang te verlenen, vaak zonder dat de gebruiker doorheeft dat er iets is gebeurd.

Juicejacking haalde meer dan tien jaar geleden voor het eerst de krantenkoppen , toen hackers geïnfecteerde laadstations gebruikten om gegevens te stelen of malware in verbonden telefoons te injecteren. Als reactie hierop begonnen smartphonebesturingssystemen gebruikers te verplichten om elke gegevensoverdracht goed te keuren wanneer een apparaat op een onbekende poort werd aangesloten. Die verandering gaf gebruikers de mogelijkheid om te kiezen voor "alleen opladen" of om toegang tot bestanden toe te staan.

Maar onderzoekers van de Technische Universiteit Graz in Oostenrijk hebben een manier gevonden (pdf) om deze beveiligingsmeldingen volledig te omzeilen. Deze techniek laat telefoons denken dat de gebruiker toestemming heeft gegeven voor gegevensoverdracht, zelfs als ze het scherm niet hebben aangeraakt.

In plaats van te vertrouwen op traditionele malware, imiteert deze aanval USB- of Bluetooth-invoerapparaten om gebruikersacties te vervalsen. Een kwaadaardig laadstation kan toetsenbordinvoer simuleren, invoerbuffers laten overlopen of communicatieprotocollen van apparaten misbruiken om je telefoon stilletjes in de gegevensoverdracht- of debugmodus te zetten.

Het hele proces duurt minder dan 133 milliseconden. Dat is sneller dan je met je ogen kunt knipperen, wat betekent dat de telefoon reageert voordat je er ook maar iets van merkt.

Adrianus Warmenhoven , cybersecurityadviseur bij NordVPN, zei dat het gevaar schuilt in de illusie van controle. "Choicejacking is bijzonder gevaarlijk omdat het een apparaat manipuleert om beslissingen te nemen die gebruikers nooit van plan waren, zonder dat ze het doorhebben", legde hij uit.

Zodra toegang is verleend, kan de aanvaller onopgemerkt foto's bekijken, berichten lezen of schadelijke software installeren.

De opkomst van choicejacking bevestigt wat cybersecurityexperts al jaren zeggen: openbare USB-poorten zijn niet te vertrouwen. Zelfs op luchthavens, in hotels of cafés kan een gehackte oplader op de loer liggen om je apparaat te kapen.

Warmenhoven voegt toe: "Met één enkele misleidende prompt kunnen aanvallers mensen ertoe verleiden gegevensoverdracht mogelijk te maken, waardoor mogelijk persoonlijke bestanden en andere gevoelige gegevens worden blootgesteld."

Die waarschuwing geldt voor zowel Android- als iOS-gebruikers. Hoewel sommige platforms beter zichtbare meldingen of instellingen voor alleen opladen bieden, bestaan de onderliggende kwetsbaarheden nog steeds en zijn aanvallers altijd op zoek naar manieren om deze te omzeilen.

Hoewel de Choicejacking-techniek in een onderzoekspaper werd beschreven, is deze nu geaccepteerd voor presentatie op het 34e USENIX Security Symposium , dat in augustus 2025 plaatsvindt.

Desondanks adviseren onderzoekers om de software van je telefoon up-to-date te houden en onbekende oplaadpoorten zoveel mogelijk te vermijden. Het is ook verstandig om voorbereid te zijn. Het meenemen van een draagbare powerbank is een van de makkelijkste manieren om onderweg de controle te behouden. Als je toch een powerbank nodig hebt, probeer dan een stopcontact met je eigen kabel en adapter te gebruiken in plaats van een openbare USB-poort, vooral als die er verdacht of te ingewikkeld uitziet.

Op sommige apparaten kun je de modus 'Alleen opladen' selecteren, waardoor er geen gegevens worden overgedragen. Schakel deze optie in als deze beschikbaar is. Hoewel aanvallers steeds nieuwe trucs vinden, kun je door voorzichtig en goed geïnformeerd te blijven toch een stap voor blijven.