Juice jacking

Juice jacking es un tipo de ciberataque que involucra un puerto de carga que se duplica como una conexión de datos, normalmente a través de USB. A menudo implica la instalación de malware o la copia subrepticia de datos sensibles de un teléfono inteligente, una tableta u otro dispositivo informático.

Investigación publicada[editar]

El Muro de las Ovejas, un evento en Defcon ha instalado y permitido el acceso del público a un quiosco informativo de juice jacking cada año en DefCon desde 2011. Su intención es dar a conocer este ataque al público en general. Cada uno de los quioscos informativos de juice jacking instalados en el Muro de las Ovejas ha incluido una CPU oculta que se utiliza de alguna manera para notificar al usuario que no debe enchufar sus dispositivos en quioscos de carga públicos. El primer quiosco de información sobre el consumo de zumo incluía una pantalla que cambiaba de "Estación de carga gratuita" a un mensaje de advertencia de que el usuario "no debe confiar sus dispositivos a las estaciones de carga públicas".^[1] Uno de los investigadores que diseñó la estación de carga del Muro de las Ovejas ha hecho presentaciones públicas en las que se muestran más actos maliciosos que podrían realizarse a través del quiosco, como el robo de datos, el rastreo de dispositivos e información sobre cómo comprometer los quioscos de carga existentes.^[2]

El investigador de seguridad Kyle Osborn publicó en 2012 un marco de ataque llamado P2P-ADB que utilizaba USB On-The-Go para conectar el teléfono de un atacante al dispositivo de una víctima. Este marco incluía ejemplos y pruebas de concepto que permitían a los atacantes desbloquear teléfonos bloqueados y robar datos de un teléfono, incluidas las claves de autenticación que permitían al atacante acceder a la cuenta de Google del propietario del dispositivo objetivo.^[3]

Investigadores de seguridad graduados y estudiantes del Instituto Tecnológico de Georgia (Georgia Tech) dieron a conocer una prueba de concepto de herramienta maliciosa "Mactans" que utilizaba el puerto de carga USB de los dispositivos móviles de Apple en las reuniones informativas de seguridad de Blackhat USA de 2013. Utilizaron componentes de hardware baratos para construir un cargador de pared malicioso de pequeño tamaño que podía infectar un iPhone con la versión actual de iOS con software malicioso mientras se cargaba. El software podía burlar cualquier medida de seguridad incorporada en iOS y enmascararse de la misma manera que Apple enmascara los procesos en segundo plano en iOS.^[4]

Los investigadores de seguridad Karsten Nohl y Jakob Lell de SRLabs publicaron su investigación sobre BadUSB durante las sesiones informativas de seguridad de Blackhat USA de 2014.^[5]^[6] En su presentación sobre este ataque mencionan que un dispositivo móvil o tableta que se cargue en un ordenador infectado sería uno de los métodos más sencillos de propagar la vulnerabilidad BadUSB. Incluyen un ejemplo de código de firmware malicioso que infectaría los dispositivos Android con BadUSB.^[7]

Los investigadores de Aries Security y Wall of Sheep volvieron a analizar el concepto de juice jacking en 2016. Crearon una estación de carga "Video Jacking" que era capaz de grabar la pantalla reflejada de los teléfonos enchufados en su estación de carga maliciosa. Los dispositivos afectados en ese momento incluían dispositivos Android que soportaban los protocolos SlimPort o MHL sobre USB, así como los iPhone más recientes que utilizaban un conector de cable de carga Lightning.^[8]

Investigadores de Symantec revelaron sus hallazgos sobre un ataque que bautizaron como "Trustjacking"^[9] durante la Conferencia RSA de 2018. Los investigadores identificaron que cuando un usuario aprueba el acceso para un ordenador en un dispositivo iOS a través de USB, que este nivel de acceso de confianza también se aplica a la API de iTunes de los dispositivos que es accesible a través de wifi. Esto permitiría a los atacantes acceder a un dispositivo iOS incluso después de que el usuario haya desconectado el dispositivo de una fuente de carga maliciosa o infectada basada en USB.

Un investigador que se hace llamar _MG_ lanzó un implante de cable USB que apodó "Cable O.MG".^[10] El cable O.MG tiene un microcontrolador incrustado dentro del propio cable, una inspección visual probablemente no detectaría una diferencia entre el cable O.MG y un cable de carga normal. El cable O.MG permite a los atacantes o a los probadores de penetración del equipo rojo emitir comandos remotamente al cable a través de wifi, y hacer que esos comandos se ejecuten en el ordenador anfitrión con el cable O.MG conectado a él.

Advertencias públicas y cultura popular[editar]

Brian Krebs fue el primero en informar sobre este ataque y acuñar el término "juice jacking". Tras ver el quiosco informativo de carga de teléfonos móviles instalado en el Muro de las Ovejas en la DefCon 19 en agosto de 2011, escribió el primer artículo en su sitio de periodismo de seguridad Krebs on Security.^[11] Los investigadores del Muro de las Ovejas -entre los que se encuentran Brian Markus, Joseph Mlodzianowski y Robert Rowley- diseñaron el quiosco como una herramienta informativa para dar a conocer el potencial vector de ataque, y han discutido, pero no han hecho públicas, las herramientas que realizan acciones maliciosas en los dispositivos de carga.^[2]

Un episodio de la serie de hacking Hak5, publicado en septiembre de 2012, mostró una serie de ataques que se pueden realizar utilizando un marco de ataque llamado P2P-ADB, publicado por Kyle Osborn. El marco de ataque P2P-ADB discutido utiliza un teléfono para atacar a otro teléfono a través de una conexión USB On-the-Go.^[12]

A finales de 2012, la NSA publicó un documento en el que se advertía a los empleados del gobierno que viajaban sobre la amenaza del juice jacking. El documento recordaba a los lectores que solo debían utilizar sus cables de carga personales durante los viajes al extranjero, que no debían cargar en quioscos públicos y que no debían utilizar los ordenadores de otras personas para cargarlos.^[13] ^[14]

El Android Hackers Handbook publicado en marzo de 2014 tiene secciones dedicadas a discutir tanto el juice jacking como el framework ADB-P2P.^[15]

El robo de jugo fue el tema central de un episodio de CSI: Cyber. Temporada 1: Episodio 9, "L0M1S" emitido en abril de 2015.^[16]

En noviembre de 2019, el fiscal adjunto de Los Ángeles emitió un anuncio de servicio público en el que advertía de los riesgos del robo de zumos durante la próxima temporada de viajes navideños.^[17] Esta PSA se sometió a escrutinio debido a que no ha salido a la luz ningún caso público relacionado con quioscos de carga maliciosos encontrados en la vía pública ni ningún caso penal que se esté juzgando en el ámbito de la Fiscalía de Los Ángeles en el momento de la PSA.^[18]

Mitigación[editar]

El iOS de Apple ha tomado múltiples medidas de seguridad para reducir la superficie de ataque a través de USB, incluyendo el no permitir que el dispositivo se monte automáticamente como un disco duro cuando se conecta a través de USB, así como el lanzamiento de parches de seguridad para vulnerabilidades como las explotadas por Mactans.^[4]

Los dispositivos Android suelen preguntar al usuario antes de permitir que el dispositivo se monte como un disco duro cuando se conecta a través de USB. Desde la versión 4.2.2, Android ha implementado un paso de verificación de la lista blanca para evitar que los atacantes accedan al Android Debug Bridge sin autorización.^[19]

El "juice jacking" no es posible si un dispositivo se carga a través del adaptador de corriente alterna que viene con el dispositivo, un dispositivo de respaldo de batería, o mediante la utilización de un cable USB con sólo cables de alimentación y sin cables de datos presentes. Una herramienta originalmente llamada USB Condom fue lanzada en 2012 con el único propósito de no permitir el paso de conexiones de datos a través de un cable USB, hay muchos vendedores que ahora venden adaptadores USB que eliminan los pines de datos.

Referencias[editar]

↑ «Juice jacking», Wall of Sheep .
↑ ^a ^b Rowley, Robert, Juice jacking 101 .
↑ Osborn, Kyle, P2P-ADB .
↑ ^a ^b BlackHat Briefings 2013 Mactans .
↑ «BadUSB - On Accessories That Turn Evil», BlackHat Briefings USA 2014 .
↑ Nohl, Karsten; Lell, Jakob, BadUSB Presentation at Blackhat USA 2014 .
↑ «Turning USB peripherals into BadUSB», SRLabs.de, archivado desde el original el 18 de abril de 2016, consultado el 20 de octubre de 2021 .
↑ «Road Warriors: Beware of 'Video Jacking'», Krebs on Security .
↑ Iarchy, Roy, iOS Trustjacking .
↑ O.MG Cable .
↑ «Beware of Juice Jacking?», Krebs on Security .
↑ P2P-ADB on Hak5, archivado desde el original el 6 de mayo de 2021, consultado el 20 de octubre de 2021 .
↑ «How American Spies Use iPhones and iPads», Fast Company .
↑ "Security Configuration Recommendations for Apple iOS 5 Devices. NSA Mitigations Group", archivado desde el original el 5 de marzo de 2016 .
↑ Drake, Joshua; Lanier, Zach; Mulliner, Collin; Fora, Pau; Ridley, Stephen; Wicherski, Georg (Marzo de 2014). Android Hacker's Handbook. Wiley. p. 576. ISBN 978-1-118-60864-7.
↑ «CSI:Cyber L0M1S», Vulture Screencap Recap .
↑ LADA Juice Jacking PSA .
↑ «Is Juice-Jacking via Public USB Ports a Real Security Threat?», Snopes .
↑ «New Android 4.2.2 Feature USB Debug Whitelist», Android Police .

Enlaces externos[editar]

Esta obra contiene una traducción total derivada de «Juice jacking» de Wikipedia en inglés, publicada por sus editores bajo la Licencia de documentación libre de GNU y la Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.

Datos: Q22053969

[Wall_of_Sheep_Juice_Jacking-1] «Juice jacking», Wall of Sheep .

[Juice_jacking_101-2] Rowley, Robert, Juice jacking 101 .

[p2p-adb-3] Osborn, Kyle, P2P-ADB .

[Mactans-4] BlackHat Briefings 2013 Mactans .

[BadUSB_at_BlackHat-5] «BadUSB - On Accessories That Turn Evil», BlackHat Briefings USA 2014 .

[BadUSB_Presentation-6] Nohl, Karsten; Lell, Jakob, BadUSB Presentation at Blackhat USA 2014 .

[BadUSB-7] «Turning USB peripherals into BadUSB», SRLabs.de, archivado desde el original el 18 de abril de 2016, consultado el 20 de octubre de 2021 .

[Video_jacking-8] «Road Warriors: Beware of 'Video Jacking'», Krebs on Security .

[Trustjacking-9] Iarchy, Roy, iOS Trustjacking .

[O.MG_Cable-10] O.MG Cable .

[Krebs_on_Security-11] «Beware of Juice Jacking?», Krebs on Security .

[Kyle_Osborn_Hak5-12] P2P-ADB on Hak5, archivado desde el original el 6 de mayo de 2021, consultado el 20 de octubre de 2021 .

[Fast_Company-13] «How American Spies Use iPhones and iPads», Fast Company .

[Security_Configuration_Recommendations_for_Apple_iOS_5_Devices._NSA_Mitigations_Group-14] "Security Configuration Recommendations for Apple iOS 5 Devices. NSA Mitigations Group", archivado desde el original el 5 de marzo de 2016 .

[Android_Hackers_Handbook-15] Drake, Joshua; Lanier, Zach; Mulliner, Collin; Fora, Pau; Ridley, Stephen; Wicherski, Georg (Marzo de 2014). Android Hacker's Handbook. Wiley. p. 576. ISBN 978-1-118-60864-7.

[CSI:Cyber_Episode_L0M1S-16] «CSI:Cyber L0M1S», Vulture Screencap Recap .

[LADA_Juice_Jacking_PSA-17] LADA Juice Jacking PSA .

[Snopes_on_Juice_Jacking-18] «Is Juice-Jacking via Public USB Ports a Real Security Threat?», Snopes .

[adb_whitelist-19] «New Android 4.2.2 Feature USB Debug Whitelist», Android Police .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]