Moltissime testate giornalistiche (per esempio Corriere della Sera, Open,
Secolo XIX, CBS, El Pais, Fortune),
compresa la RSI, hanno pubblicato la notizia dell’allarme diffuso via Twitter dall’FBI a
proposito delle prese pubbliche di ricarica per telefonini e altri
dispositivi elettronici: queste prese sarebbero pericolose perché potrebbero
essere usate da criminali informatici per infettare i dispositivi, leggere e
rubare dati e anche tracciare smartphone, tablet e computer dopo che sono stati scollegati.
Sarebbero maggiormente esposti gli utenti Android, ma anche gli utenti Apple
non dovrebbero sentirsi al sicuro.
La tecnica usata dai malfattori ha un nome specifico: si chiama
juice jacking, che in inglese significa “presa di controllo tramite la corrente”
(juice è un modo informale per indicare la corrente elettrica e
jacking è un troncamento di hijacking, ossia “dirottamento,
presa di controllo”).
L’idea di non poter usare queste comodissime prese di ricarica, così preziose
quando si è in viaggio e il telefonino, il tablet e il computer sono a corto
di energia, è preoccupante e riguarda moltissime persone, e la fonte
dell’allarme, l’FBI, sembra assolutamente attendibile; è quindi
comprensibile che i giornalisti l’abbiano diffuso con entusiasmo. Ma scavando
un pochino viene fuori che l’allarme è basato sul nulla: o meglio, su un corto
circuito. Non elettrico, ma informativo.
L’avviso dal quale è partita tutta la preoccupazione è infatti un
tweet
della sede distaccata dell’FBI di Denver, datato 6 aprile 2023, che dice che
“attori ostili hanno trovato modi per usare le porte USB pubbliche per
inserire malware e software di monitoraggio nei dispositivi”
e raccomanda di portare con sé un proprio caricatore e un proprio cavetto USB e
di usare le prese elettriche normali invece dei cavetti offerti.
Avoid using free charging stations in airports, hotels or shopping centers.
Bad actors have figured out ways to use public USB ports to introduce
malware and monitoring software onto devices. Carry your own charger and USB
cord and use an electrical outlet instead.
pic.twitter.com/9T62SYen9T— FBI Denver (@FBIDenver)
April 6, 2023
Il tweet dell’FBI, però, non fornisce dettagli o fonti.
Così il giornalista informatico
Dan Goodin ha contattato
l’FBI, un cui portavoce gli ha spiegato che la sede di Denver ha basato il
proprio allarme su informazioni provenienti dalla FCC, la Federal
Communications Commission, l’autorità governativa statunitense che regola e
amministra l’uso delle frequenze radio e delle telecomunicazioni. E in effetti
sul sito della FCC c’è un
avviso, datato 11 aprile 2023, che ripete sostanzialmente le raccomandazioni
dell’FBI, anche qui senza fornire dettagli tecnici o fonti.
Ma a sua volta, spiega sempre Goodin, la FCC dice che le sue informazioni si
basano su un articolo del New York Times del 2019 (probabilmente
questo, paywallato), che si basava su un avviso diffuso dall’ufficio del procuratore
distrettuale di Los Angeles. Ma quell’avviso è stato rimosso a dicembre 2021,
dopo che era emerso che i funzionari del procuratore distrettuale non avevano
alcuna prova del fenomeno. Anche la FCC non è in grado di citare un singolo
caso in cui questo juice jacking su prese pubbliche sia avvenuto.
In altre parole, l’allarme dell’FBI si basa su un complicato passaparola alla
cui origine c’è il nulla.
—
Possiamo quindi stare tranquilli e collegare i nostri dispositivi alle prese
negli aeroporti e nei luoghi pubblici e dimenticare questo falso allarme?
Probabilmente sì. La capacità di infettare uno smartphone semplicemente
collegandolo a un cavetto di ricarica sarebbe una tecnica troppo potente e
pericolosa per sprecarla su bersagli comuni in luoghi pubblici, e se esistesse
da ben quattro anni, le case produttrici di dispositivi avrebbero nel frattempo
rimediato diffondendo aggiornamenti correttivi. Quindi le prese USB e i cavetti che trovate nei normali luoghi pubblici sono quasi sicuramente privi di
pericoli informatici.
Detto questo, esiste un rischio teorico. Le prese di ricarica dei
dispositivi includono quasi sempre dei contatti elettrici che accettano dati e comandi.
Sarebbe quindi possibile mandare dei comandi a un dispositivo connesso
attraverso un cavetto appositamente costruito, come per esempio l’OMG Cable
di Hak5. Questi comandi permetterebbero di prendere il controllo di un
dispositivo quanto basta per infettarlo o estrarne dati. Ma cavetti speciali
come questi hanno un costo troppo alto (ben oltre 100 dollari) per lasciarli
in giro in un luogo pubblico.
Il rischio reale, insomma, è minimo, e infatti non ci sono casi documentati di
questo juice jacking nonostante se ne parli a livello teorico da anni.
Ma se preferite evitare anche quel minimo rischio, usate il vostro caricatore,
quello che si inserisce nella presa elettrica, o una vostra batteria esterna o
powerbank. E se siete proprio paranoici, esistono anche dei
cavetti speciali
e degli isolatori per cavetti di ricarica, i cosiddetti
data blocker, che fanno passare solo la corrente elettrica ma non i dati.
Fonte aggiuntiva:
Graham Cluley.