Obwohl viele Daten mittlerweile drahtlos in die Cloud fliegen, stöpseln Smartphone-Nutzer ihre Geräte noch immer häufig per USB ans Ladegerät, Auto oder Laptop. Sicherheitsexperten ist es mit einem mehrstufigen Trick gelungen, über diese Gegenstellen Daten von den Geräten abzugreifen – obwohl das seit mehr als einem Jahrzehnt nicht mehr möglich sein dürfte. Eine Hintertür fanden Florian Draschbacher und Lukas Maar von der TU Graz in der USB-Implementation bei Android und iOS.
Ladegeräte, die nicht nur Strom liefern, sondern auch Daten abzapfen oder gar Malware aufspielen: Dieses Szenario beschreibt die Angriffsmethode "JuiceJacking". Bereits im Jahr 2011 prägte der Security-Journalist Brian Krebs den griffigen Namen für die Methode, die eine Gruppe Sicherheitsforscher mit öffentlichen Ladeterminals auf der Hackerkonferenz DefCon 19 vorgestellt hatte. Wer sein Smartphone dort anschloss, dem winkte eine Warnbotschaft auf dessen Bildschirm.
Apple und Google reagierten mit mehreren Gegenmaßnahmen, vor allem mit Warnmeldungen und Bestätigungsdialogen beim ersten Anschluss eines neuen USB-Geräts. Auch behoben die Hersteller Sicherheitslücken in den Mobil-Betriebssystemen, um Malware-Verbreitung per JuiceJacking zu vereiteln.
Die Neuauflage, von ihren österreichischen Entdeckern ChoiceJacking getauft, kann diese Gegenmaßnahmen jedoch teilweise überwinden. Dazu bedienen sich die Grazer Forscher eines zweiten Eingabekanals, nämlich eines ebenfalls gefälschten Bluetooth-Eingabegeräts. Wie die Doktoranden herausfanden, erlaubten iOS und Android einem frisch angesteckten USB-Gerät zwar nicht, Daten auszulesen, wohl aber Eingaben zu tätigen.
Diesen Umstand nutzten Draschbacher und Maar aus, um eine Bluetooth-Verbindung zum präparierten Eingabegerät aufzubauen. Dieses wiederum drehte den Spieß dann um und nickte eine USB-Datenabfrage ab, und zwar in Sekundenbruchteilen. Daher der Name: Die durch den Nutzer zu treffende Auswahl (engl. choice), bestimmte Geräteverbindungen zuzulassen, wird durch den Angriff "hijacked", also entführt. Möglich macht das der USB-Modus PD (Power Delivery), der eine Umkehrung der Rollen zwischen angestecktem Peripheriegerät und Host-Gerät gestattet.
So ist das bösartige USB-Ladegerät aufgebaut. In zwei Richtungen weisende Pfeile zeigen den Rollentausch zwischen Host und Peripheriegerät an.
(Bild: Draschbacher, F., Maar, L., Oberhuber, M., & Mangard, S. (Accepted/In press). ChoiceJacking: Compromising Mobile Devices through Malicious Chargers like a Decade ago. In Usenix Security Symposium 2025)
Allerdings klappt das Verfahren nicht immer ohne Zutun des Opfers: Der Bildschirm des Smartphones darf weder gesperrt sein noch funktioniert der Trick bei ausgeschalteten oder im "Before First Unlock"-Mode (BFU) befindlichen Geräten. Doch, so die Österreicher, wer sein Gerät zum Laden an ein Terminal stecke, verwende es während des Ladevorgangs häufig weiter und habe keine Chance, das in Tests nur sieben Hundertstel Sekunden aufblitzende Popup zu sehen, geschweige denn abzubrechen.
Die Grazer Forscher fanden weitere Angriffsszenarien, mit denen sie neben Apple- und Google-eigenen Geräten auch solche von Samsung, Xiaomi und Huawei angreifen konnten. Davon sind noch immer einige gegen ChoiceJacking verwundbar, weil sie bis dato kein Update auf reparierte Android-Versionen erhalten. Zudem sind nicht alle Angriffe bereits in Android 15 behoben, einige flickt Google wohl erst in der Nachfolgeversion.
Auch iOS 18.4 flickt die Löcher in Apples USB-Implementierung – wie auch beim JuiceJacking durch eine zusätzliche Sicherheitsabfrage. Nutzer müssen nun das Gerät mittels PIN oder Biometrie entsperren, wollen sie USB-Geräte anschließen und diesen Datenübertragung erlauben. Das sei auch der Grund für die zögerliche Umsetzung von Sicherheitsflicken, sagt Draschenbacher: "Der Grund für diese träge Reaktion dürfte darin zu finden sein, dass es sich nicht einfach um einen Programmier-Fehler handelt. Vielmehr liegt das Problem tiefer im USB-Trust-Model der mobilen Betriebssysteme verwurzelt. Änderungen haben hier Auswirkungen auf die Nutzerfreundlichkeit, weshalb die Hersteller zögerlich sind." Wer sich in der Zwischenzeit schützen will, kann zu einem USB-Datenblocker greifen, einem Zwischenstecker zur Unterbrechung von Datenverbindungen, wie er auch im heise-Shop verkauft wird.
Die Entdecker präsentierten ChoiceJacking auf der BlackHat Asia (Vortragsfolien im PDF-Format) und haben ihr Paper zudem bei der diesjährigen Ausgabe des renommierten USENIX Security Symposium plaziert (PDF-Version).
(