Новая атака Choicejacking крадет данные с телефонов через общественные зарядные устройства

Если вы считали, что использование общественных зарядных устройств для телефонов безопасно, самое время пересмотреть свои взгляды. Несмотря на годы обновлений, направленных на защиту смартфонов от атак типа «джус-джекинг» , исследователи кибербезопасности обнаружили новую угрозу, которая обходит эти самые меры защиты.

Новое исследование описывает, как злоумышленники теперь используют метод под названием Choicejacking, чтобы использовать смартфоны для предоставления несанкционированного доступа, часто без того, чтобы пользователь осознавал, что что-то произошло.

Впервые джус-джекинг попал в заголовки газет более десяти лет назад, когда хакеры использовали заражённые зарядные станции для кражи данных или внедрения вредоносного ПО в подключённые телефоны. В ответ на это операционные системы смартфонов стали требовать от пользователей подтверждения любой передачи данных при подключении устройства к неизвестному порту. Это изменение предоставило пользователям возможность выбрать «только зарядку» или разрешить доступ к файлам.

Но исследователи из Грацского технического университета в Австрии нашли способ (PDF) полностью обойти эти запросы безопасности. Этот метод обманывает телефоны, заставляя их думать, что пользователь разрешил передачу данных, даже если он не прикасался к экрану.

Вместо использования традиционного вредоносного ПО эта атака использует поддельные USB- или Bluetooth-устройства ввода для имитации действий пользователя. Вредоносная зарядная станция может имитировать ввод с клавиатуры, переполнять буферы ввода или использовать протоколы связи устройства, чтобы незаметно перевести ваш телефон в режим передачи данных или отладки.

Весь процесс занимает менее 133 миллисекунд. Это быстрее, чем вы успеваете моргнуть, а значит, телефон реагирует ещё до того, как вы успеваете что-либо заметить.

Адрианус Варменховен , консультант по кибербезопасности в NordVPN, заявил, что опасность кроется в иллюзии контроля. «Перехват выбора особенно опасен, поскольку он заставляет устройство принимать решения, которые пользователи не планировали, и при этом они даже не осознают этого», — пояснил он.

Получив доступ, злоумышленник может незаметно просматривать фотографии, читать сообщения или внедрять вредоносное ПО.

Рост числа случаев «выборного перехвата» подтверждает то, что эксперты по кибербезопасности годами говорили: не стоит доверять общественным USB-портам. Даже в аэропортах, отелях или кафе вас может поджидать скомпрометированное зарядное устройство, чтобы взломать ваше устройство.

Варменховен добавляет: «С помощью одной обманной подсказки злоумышленники могут обманом заставить людей разрешить передачу данных, что потенциально может привести к раскрытию личных файлов и других конфиденциальных данных».

Это предупреждение актуально как для пользователей Android, так и для пользователей iOS. Хотя некоторые платформы предлагают более наглядные уведомления или настройки, позволяющие только списывать средства, основные уязвимости всё ещё существуют, и злоумышленники постоянно ищут способы их обойти.

Хотя метод Choicejacking был подробно описан в исследовательской статье, он был принят для презентации на 34-м симпозиуме по безопасности USENIX , который состоится в августе 2025 года.

Тем не менее, исследователи рекомендуют обновлять программное обеспечение телефона и по возможности избегать незнакомых портов зарядки. Кроме того, это поможет вам быть готовым к любым неожиданностям. Ношение с собой портативного зарядного устройства — один из самых простых способов контролировать ситуацию вне дома. Если вам всё же нужно подключиться к сети, старайтесь использовать розетку с собственным кабелем и адаптером, а не общедоступный USB-порт, особенно тот, который выглядит подозрительно или слишком сложно.

Некоторые устройства позволяют выбрать режим «Только зарядка», который предотвращает передачу данных. Включите его, если он доступен. Хотя злоумышленники продолжают придумывать новые уловки, осторожность и информированность помогут вам оставаться на шаг впереди.