Je telefoon opladen doe je vast en zeker vaak zat op kantoor, in de auto of thuis. Het kan natuurlijk voorkomen dat je op een andere plek bent en toch nog wat prik nodig hebt. Dat is misschien niet zonder gevaar, want ‘juicejacking’ ligt dan op de loer. Wat is het precies en moet je je daar wel of geen zorgen over maken? ICT Magazine zette die vraag uit bij verschillende beveiligingsbedrijven.
Je denkt er vast niet altijd bij na, want het opladen van je smartphone of tablet is nou niet echt iets om bij stil te staan. Toch gaan er verhalen de ronde over het stelen van gegevens via gemodificeerde usb-kabels, -poorten of -opladers, maar hoe zit dat precies? Als jij je usb-kabel in zo’n aangepaste usb-poort steekt zou er makkelijk malware op je toestel kunnen worden geïnstalleerd door een kwaadwillende met alle gevolgen van dien.
ICT Magazine vroeg verschillende cyberbeveiligingsbedrijven naar wat zij weten over dit fenomeen, of het daadwerkelijk schade kan berokken en vroeg ook om tips om het te voorkomen.
“Juice jacking is de Bigfoot van de cybersecuritywereld”
Javvad Malik, Lead Security Awereness Advocate bij KnowBe4 zegt dat juice jacking eigenlijk de Bigfoot is in de wereld van online-beveiliging. Het wordt vaak gemeld, maar in het echt waarnemen is er nooit bij. Over het algemeen is het risico op juicejacking gewoonweg heel laag.
Toby Lewis, Global Head of Threat Intelligence van cyberbeveiligingsbedrijf Darktrace beaamt dat. “Moderne smartphones en apparaten beschikken over robuuste beveiligingen die dit type bedreiging aanzienlijk beperkt.” Hij stelt dat het voor belangrijke personen en zakelijke gebruikers misschien handig is om extra voorzorgsmaatregelen te nemen.
Volgens Malik is juice jacking zeker mogelijk, maar als je je daar zorgen over maakt en zelf goed oplet, is de kans nihil dat het je treft. Probeer openbare oplaadpunten te vermijden of gebruik een powerbank die alleen jijzelf in gebruikt hebt. Ook kun je kijken naar usb-kabels die alleen gebruikt kunnen worden om op te laden, maar waarmee je geen data kunt overzetten.
Lewis geeft ook nog wat algemene beveiligingstips, waaronder het up-to-date houden van je apparaten met beveiligingspatches. Installeer apps alleen via officiële app-winkels zoals de Play Store van Google of App Store van Apple. Tevens is het goed om voor elk account een uniek wachtwoord te gebruiken en gebruik MFA (multifactorauthenticatie) waar dat mogelijk is. “Deze basisprincipes bieden namelijk een veel betere bescherming dan je zorgen maken over oplaadstations.”
Lees ook: Welke zakelijke smartphones kun je zeker kopen vanwege de goede software-ondersteuning
Nieuwe apparaten zijn minder kwetsbaar
Robert McArle, directeur FTR – Cybercrime Research bij Trend Micro noemt dat juice jacking vroeger meer een probleem was dan tegenwoordig. Recente smartphones krijgen regelmatig beveiligingsupdates en als je de standaardinstellingen niet aanpast is zo’n aanval vaak niet eens op te zetten.
Wil je een dataverbinding opzetten, dan moet je vaak je toestel eerst ontgrendelen of data-transfer eerst toestaan via een notificatie. Maak je nog gebruik van een ouder apparaat of een device dat bewust in debug-/ontwikkelaarsmodus is gezet dan moet je wat beter opletten. Voor de meeste telefoongebruikers is het risico echter laag en mocht je bijvoorbeeld tijdens een reis toch stroom nodig hebben, gebruik dan een eigen powerbank.
Tony Fergusson, CISO in Residence bij het Amerikaanse Zscaler heeft ook gereageerd op de vragen van ICT Magazine omtrent dit onderwerp. Hij stelt dat “dit type aanval (nog) niet wijdverbreid is, maar dat we wel steeds afhankelijker worden van mobiele apparaten voor zakelijk gebruik. Steeds meer medewerkers hebben onderweg toegang tot allerlei gevoelige informatie en bronnen.” Volgens Fergusson is het daarom slim om je eigen “USB-condoom mee te nemen” en simpelweg een charge-only usb-kabel te gebruiken.
Zo loop je ook minder risico
Adam Boynton, Cybersecurity Strategist bij Jamf, en Adam Marrè, Senior Vice President, Chief Information Security Officer bij Arctic Wolf voegen aan bovenstaande verhaal nog toe dat je naast een eigen oplader ook kunt denken aan een gecertificeerde USB-datablocker. Met zo’n apparaatje dat je verbindt tussen je smartphone en de usb-kabel worden alle datalijnen geblokkeerd. Zo kan er geen data-overdacht plaatsvinden en kan er dus ook geen malware worden geïnstalleerd op een apparaat.
Daarbij noemt Boynton ook dat “organisaties hun gebruikers moeten voorlichten over ‘oplaadhygiëne'”. Marrè sluit zich aan bij bovenstaande verhaal, dat juice jacking niet wijdverspreid is. Wel laat hij nog weten dat de Amerikaanse Transportation Security Administration (TSA) onlangs wel gewaarschuwd heeft voor dit type dreiging. Als je logisch nadenkt en de genoemde oplossingen in het oog houdt, is de kans echter nihil dat je hier slachtoffer van wordt, noemt hij.
Fox-IT over juice jacking
Ook het Nederlandse Fox-IT reageerde op onze vragen. Frank van Oeveren, Associate Director, Global Threat Intelligence is het eens met de reacties van andere beveiligingsexperts. “Er zijn maar weinig gedocumenteerde aanvallen op echte gebruikers”, laat hij weten. “Het meeste wat bekend is over dit type aanval komt van demonstraties. Dat zegt niet dat het niet gebeurt, maar het is iets om scherp op te zijn, zeker voor de normale gebruiker, die niet altijd een interessant doelwit hoeft te zijn.”
Daarbij is het “aanvalsoppervlak beperkt.” Een publiekelijk usb-oplaadpunt moet worden gemanipuleerd zonder dat het opvalt, een persoon moet dat punt daadwerkelijk gaan gebruiken én er moet een dataverbinding kunnen worden opgezet met de smartphone of tablet. Tot slot moet de aanvaller ook nog malware installeren en/of een kwetsbaarheid misbruiken, wat vooral bij moderne apparaten niet makkelijk is.
“In omgevingen met veel reizigers of bezoekers valt het minder op als er geknutseld wordt aan een usb-laadpunt, maar alles wat daarnaast genoemd is, is dan alsnog van toepassing”, aldus van Oeveren.