Yeni Choicejacking Saldırısı, Kamu Şarj Cihazları Aracılığıyla Telefonlardan Veri Çalıyor

Halka açık telefon şarj cihazı kullanmanın güvenli olduğunu düşünüyorsanız, bir kez daha düşünmenin zamanı geldi. Akıllı telefonları "juicejacking" saldırılarından korumayı amaçlayan yıllardır yapılan güncellemelere rağmen, siber güvenlik araştırmacıları bu güvenlik önlemlerini aşan yeni bir tehdit tespit etti.

Yeni bir araştırma, saldırganların Choicejacking adı verilen bir yöntemi kullanarak akıllı telefonları istismar edip yetkisiz erişim sağladıklarını ve bunu çoğunlukla kullanıcının farkına varmadan yaptıklarını ortaya koyuyor.

Juice Jacking, on yıldan uzun bir süre önce, bilgisayar korsanlarının veri çalmak veya bağlı telefonlara kötü amaçlı yazılım enjekte etmek için virüslü şarj istasyonlarını kullanmasıyla manşetlere çıktı . Buna karşılık, akıllı telefon işletim sistemleri, bir cihaz bilinmeyen bir porta takıldığında kullanıcıların herhangi bir veri aktarımını onaylamasını zorunlu kılmaya başladı. Bu değişiklik, kullanıcılara "yalnızca şarj et" veya dosya erişimine izin ver seçenekleri sundu.

Ancak Avusturya'daki Graz Teknoloji Üniversitesi'nden araştırmacılar, bu güvenlik uyarılarını tamamen atlatmanın bir yolunu buldular (PDF). Bu teknik, telefonları, kullanıcı ekrana dokunmasa bile veri aktarımına izin verdiğini düşünmeye yönlendiriyor.

Bu saldırı, geleneksel kötü amaçlı yazılımlara güvenmek yerine, kullanıcı eylemlerini taklit etmek için USB veya Bluetooth giriş cihazlarını taklit eder. Kötü amaçlı bir şarj istasyonu, klavye girişlerini simüle edebilir, giriş arabelleklerini doldurabilir veya telefonunuzu sessizce veri aktarım veya hata ayıklama moduna geçirmek için cihaz iletişim protokollerini kötüye kullanabilir.

Tüm süreç 133 milisaniyeden daha kısa sürüyor. Bu, göz açıp kapayıncaya kadar geçen süreden bile daha kısa, yani telefonunuz siz farkına bile varamadan tepki veriyor.

NordVPN'de siber güvenlik danışmanı olan Adrianus Warmenhoven , tehlikenin kontrol yanılsamasından kaynaklandığını söyledi. "Seçim korsanlığı özellikle tehlikelidir çünkü bir cihazı, kullanıcıların farkında olmadan, hiç istemedikleri kararlar almaya yönlendirir," diye açıkladı.

Erişim izni verildiğinde saldırgan sessizce fotoğraflara göz atabilir, mesajları okuyabilir veya kötü amaçlı yazılım yerleştirebilir.

Choicejacking'in yükselişi, siber güvenlik uzmanlarının yıllardır söylediği bir şeyi doğruluyor: halka açık USB bağlantı noktalarına güvenilmemeli. Havaalanlarında, otellerde veya kafelerde bile, güvenliği ihlal edilmiş bir şarj cihazı cihazınızı ele geçirmek için bekliyor olabilir.

Warmenhoven, "Saldırganlar, tek bir aldatıcı komutla insanları kandırıp veri transferini etkinleştirebilir ve potansiyel olarak kişisel dosyaları ve diğer hassas verileri ifşa edebilirler" diye ekliyor.

Bu uyarı hem Android hem de iOS kullanıcıları için geçerlidir. Bazı platformlar daha görünür komut istemleri veya yalnızca ücretli ayarlar sunsa da, altta yatan güvenlik açıkları hâlâ mevcut ve saldırganlar bunları aşmanın yollarını arıyor.

Choicejacking tekniği bir araştırma makalesinde ayrıntılı olarak açıklanmış olup, Ağustos 2025'te gerçekleşecek 34. USENIX Güvenlik Sempozyumu'nda sunulmak üzere kabul edilmiştir.

Bununla birlikte, araştırmacılar telefonunuzun yazılımını güncel tutmanızı ve mümkün olduğunca bilmediğiniz şarj portlarından uzak durmanızı öneriyor. Hazırlıklı olmak da faydalı. Taşınabilir bir powerbank taşımak, dışarıdayken kontrolü elinizde tutmanın en kolay yollarından biridir. Şarj etmeniz gerekiyorsa, özellikle şüpheli veya aşırı karmaşık görünen halka açık USB portları yerine, kendi kablonuz ve adaptörünüzle bir duvar prizi kullanmayı deneyin.

Bazı cihazlar, herhangi bir veri aktarımını engelleyen "sadece şarj" modunu seçmenize olanak tanır. Mümkünse bu modu açın. Saldırganlar yeni numaralar bulmaya devam ederken, dikkatli ve bilgili kalmak sizi bir adım önde tutabilir.