Las autoridades advierten sobre los peligros de usar estaciones de carga USB públicas

Los viajeros deben usar solo puertos de carga de CA, usar cables USB sin datos o dispositivos de "condón USB".

Se aconseja a los viajeros que eviten el uso de estaciones de carga de energía USB públicas en aeropuertos, hoteles y otros lugares porque pueden contener malware peligroso, dijo el Fiscal de Distrito de Los Ángeles en una alerta de seguridad publicada la semana pasada.

Las conexiones USB fueron diseñadas para funcionar como medios de transferencia de datos y energía, sin una barrera estricta entre los dos. A medida que los teléfonos inteligentes se hicieron más populares en la última década, los investigadores de seguridad descubrieron que podían abusar de las conexiones USB que un usuario podría pensar que solo estaban transfiriendo energía eléctrica para ocultar y entregar cargas secretas de datos.

Este tipo de ataque recibió su propio nombre, como "jacking de jugo".

A lo largo de los años, se crearon varias pruebas de concepto. El más notorio es Mactans , presentado en la conferencia de seguridad Black Hat 2013, que era un cargador de pared USB malicioso que podía desplegar malware en dispositivos iOS.

Tres años más tarde, en 2016, el investigador de seguridad Samy Kamkar llevó el concepto más allá con KeySweeper , un dispositivo sigiloso basado en Arduino, camuflado como un cargador de pared USB que funciona, que olfatea, descifra, registra e informa de forma inalámbrica y pasiva (a través de GSM) todo pulsaciones de teclado desde cualquier teclado inalámbrico de Microsoft en las proximidades.

Luego del lanzamiento de KeySweeper por parte de Kamkar, el FBI envió una alerta nacional en ese momento, advirtiendo a las organizaciones contra el uso de cargadores USB y pidiendo a las compañías que revisen si tenían algún dispositivo en uso.

Además, en 2016, otro equipo de investigadores desarrolló otro cargador de pared USB malicioso de prueba de concepto. Este podría grabar y reflejar la pantalla de un dispositivo que estaba enchufado por una carga. La técnica se conoce como " video jacking ".

La advertencia del Fiscal de Distrito de Los Ángeles [ PDF ] cubre muchos vectores de ataque, porque hay diferentes maneras en que los delincuentes pueden abusar de los cargadores de pared USB.

La forma más común es a través de cargadores de pared USB "conectables". Estos son dispositivos de carga USB portátiles que se pueden enchufar a una toma de CA, y los delincuentes pueden dejar fácilmente algunos de estos "por accidente" en lugares públicos, en estaciones de carga públicas.

También hay cargadores USB encerrados directamente dentro de las estaciones de carga de energía instaladas en lugares públicos, donde el usuario solo tiene acceso a un puerto USB. Sin embargo, los funcionarios de Los Ángeles dicen que los delincuentes pueden cargar malware en las estaciones de carga públicas, por lo que los usuarios deben evitar usar el puerto USB y, en su lugar, seguir usando el puerto de carga de CA.

Pero la advertencia de la DA LA también se aplica a los cables USB que se han quedado atrás en lugares públicos. Los microcontroladores y las piezas electrónicas se han vuelto tan pequeños en estos días que los delincuentes pueden esconder mini computadoras y malware dentro de un cable USB. Un ejemplo de ello es el cable O.MG . Algo tan benigno como un cable USB puede ocultar el malware hoy en día.

Teniendo todo esto en cuenta, los funcionarios de Los Ángeles recomiendan que los viajeros:

• Use un tomacorriente de CA, no una estación de carga USB.

• Lleve cargadores de CA y de automóvil para sus dispositivos cuando viaje.

• Considere comprar un cargador portátil para emergencias.

Pero también hay otras contramedidas que los usuarios pueden implementar. Uno de ellos es que los propietarios de dispositivos pueden comprar cables USB "sin transferencia de datos", donde se han eliminado los pines USB responsables del canal de transferencia de datos, dejando solo el circuito de transferencia de energía en su lugar. Tales cables se pueden encontrar en Amazon y otras tiendas en línea.

También hay los llamados "condones USB" que actúan como intermediarios entre un cargador USB no confiable y el dispositivo de un usuario.

Dos de estos dispositivos son SyncStop (anteriormente conocido como USB Condom) y Juice-Jack Defender . También existen muchos otros, y en un momento, incluso los investigadores de Kaspersky intentaron construir uno, llamado Pure.Charger , pero su recaudador de fondos de Kickstarter no logró recaudar los fondos necesarios.

Actualización, 15 de noviembre: después de la publicación de este artículo, ha habido una ola de críticas por parte de los investigadores de seguridad y la comunidad de ciberseguridad, que no creían que la alerta de seguridad de LA DA fuera adecuada, ya que no se han conocido casos de " incidentes detectados en el mundo real, y más allá del trabajo experimental presentado en conferencias de seguridad. Además, muchos han señalado que desde las primeras demostraciones de extracción de jugo en 2013, tanto Android como iOS ahora han incorporado ventanas emergentes en su interfaz de usuario para alertar a un usuario cuando un puerto USB está tratando de transferir datos, en lugar de solo energía eléctrica.

Las autoridades estadounidenses suelen emitir alertas de seguridad basadas en informes y amenazas que ven en el mundo real. Después de no responder a una llamada telefónica ayer, el fiscal de Los Ángeles le dijo hoy al sitio de noticias tecnológicas TechCrunch que la alerta de seguridad era parte de una campaña educativa y no se basaba en ataques de extracción de jugo que habían detectado en la naturaleza. Sin embargo, el aviso original de LA DA todavía está etiquetado como "alerta de fraude" y "PSA" en el sitio web de LA DA, sin evidencia de que esto sea parte de una campaña educativa. Sin embargo, el consejo dado a los viajeros no es malo ni incorrecto, y los usuarios deben seguirlo.