Choicejacking: Neue Cyber-Bedrohung verwandelt USB-Ladestationen in Datenfallen
Forscher warnen vor raffinierter Cyberattacke, die Smartphone-Nutzer an öffentlichen Ladestationen täuscht und sensible Daten innerhalb von Millisekunden kompromittiert.
Eine heimtückische neue Cyberbedrohung macht öffentliche USB-Ladestationen zu gefährlichen Fallen für Smartphone-Nutzer. Die als Choicejacking“ bezeichnete Attacke manipuliert Benutzer dazu, unwissentlich Hackern Zugriff auf sensible persönliche Daten zu gewähren und umgeht dabei Sicherheitsmaßnahmen, die sie eigentlich schützen sollten.
Cybersicherheitsforscher schlagen diese Woche Alarm wegen dieser raffinierten Weiterentwicklung ladungsbasierter Angriffe. Anders als frühere Bedrohungen täuscht Choicejacking Nutzer in dem Moment, in dem sie ihr Gerät anschließen: Sie glauben, nur die Ladefunktion zu wählen, autorisieren aber tatsächlich eine Datenübertragung. Die Attacke besticht durch Geschwindigkeit und Raffinesse sie kann ein Gerät im Bruchteil einer Sekunde kompromittieren.
Choicejacking stellt eine gefährliche Evolution öffentlicher Ladebedrohungen dar“, warnt Adrianus Warmenhoven, Cybersicherheitsberater bei NordVPN. Mit einer einzigen täuschenden Eingabeaufforderung können Angreifer Menschen dazu bringen, Datenübertragungen zu ermöglichen und persönliche Dateien sowie andere sensible Daten preiszugeben.“
Wie die Täuschung funktioniert: Blitzschnell und unsichtbar
Choicejacking markiert einen bedeutenden Sprung gegenüber der bekannten Juice Jacking“-Bedrohung. Jahrelang schützte eine einfache Sicherheitsabfrage: Beim Anschluss an einen USB-Port fragt das Gerät, ob Nur laden“ oder Daten übertragen“ gewählt werden soll. Diese Maßnahme war wirksam gegen ältere Angriffe.
Forscher der österreichischen Technischen Universität Graz entdeckten jedoch Methoden, genau diese Schutzmaßnahme zu umgehen. Eine manipulierte öffentliche Ladestation, ausgestattet mit einem kleinen bösartigen Computer, kann sich als vertrauenswürdiges Gerät wie eine USB-Tastatur ausgeben.
Sobald ein Nutzer sein Telefon anschließt, kann die bösartige Station täuschende Bildschirm-Overlays einsetzen oder blitzschnelle Befehle einschleusen manchmal in nur 133 Millisekunden um automatisch die Option Datenübertragung“ zu wählen. Das passiert schneller, als eine Person überhaupt bemerken kann, dass eine Eingabeaufforderung erschienen ist.
Die Attacke nutzt Schwachstellen durch Techniken wie Keystroke-Injection und missbraucht das Android Open Access Protocol (AOAP), um das Telefon in einen verwundbaren Zustand zu zwingen. Fotos, Kontakte und persönliche Dateien werden dem Angreifer preisgegeben.
Anzeige: Übrigens: Wer sein Android-Smartphone vor genau solchen Tricks schützen will, sollte die wichtigsten Sicherheitshebel kennen. Ein kostenloser Ratgeber erklärt die 5 zentralen Schutzmaßnahmen Schritt für Schritt ohne teure Zusatz-Apps. Ideal für WhatsApp, Online?Banking und Online?Shopping. Jetzt das kostenlose Android?Sicherheitspaket herunterladen
Raffinierter Nachfolger des Juice Jacking
Um die Gefahr von Choicejacking zu verstehen, muss man es vom Vorgänger Juice Jacking unterscheiden. Juice Jacking installiert Malware eher passiv über einen manipulierten USB-Port, oft ohne jegliche Benutzerinteraktion. Als das öffentliche Bewusstsein für Juice Jacking wuchs, führten Google und Apple die bekannte Berechtigungsabfrage als kritische Verteidigungslinie ein.
Choicejacking hingegen ist ein aktiver und täuschender Angriff, der den Entscheidungsprozess des Nutzers selbst ins Visier nimmt. Er hofft nicht nur auf einen Benutzerfehler er manipuliert aktiv die Benutzeroberfläche oder simuliert Benutzereingaben, um den Fehler zu erzwingen. Das macht ihn potenziell gefährlicher, da er die primäre Sicherheitsfunktion umgeht, die solche Angriffe verhindern soll.
Selbst sicherheitsbewusste Personen, die wissen, dass sie Nur laden“ wählen müssen, können Opfer werden die Attacke kapert diese Wahl ohne ihr Wissen oder ihre Zustimmung.
Reale Bedrohung in Flughäfen, Cafés und öffentlichen Räumen
Die weitverbreitete Präsenz öffentlicher USB-Ladestationen in Flughäfen, Hotels und öffentlichen Verkehrsmitteln macht Choicejacking zu einer erheblichen Bedrohung für die Allgemeinheit. Diese Ladestationen unterliegen selten Sicherheitsaudits und werden so zu idealen Zielen für Hacker-Manipulationen.
Obwohl noch keine dokumentierten Fälle bekannt sind, in denen Angreifer diese spezielle Technik in freier Wildbahn einsetzen, zeigt der von Forschern entwickelte Machbarkeitsnachweis eine kritische Schwachstelle in Geräten der führenden Smartphone-Hersteller auf.
Das FBI hatte bereits früher vor öffentlichen Ladestationen gewarnt. Die Entstehung von Choicejacking bestätigt diese Bedenken mit einem neuen, fortschrittlicheren Bedrohungsvektor.
Öffentliche USB-Ports sollten niemals als sicher behandelt werden, und Bewusstsein ist die erste Verteidigungslinie“, erklärt Cybersicherheitsberater Warmenhoven. Der Angriff nutzt Momente der Verwundbarkeit aus etwa wenn der Akku eines Reisenden kritisch niedrig ist und der Ladebedarf die Sicherheitsvorsicht überwiegt.
Ausblick: Was Nutzer und Hersteller jetzt tun müssen
Nach diesen Erkenntnissen liegt die Verantwortung zur Eindämmung der Choicejacking-Bedrohung sowohl bei Verbrauchern als auch bei Geräteherstellern. Sicherheitsexperten erwarten, dass Betriebssystem-Entwickler wie Apple und Google an der Behebung der spezifischen Schwachstellen arbeiten werden, die es bösartigen Geräten ermöglichen, Benutzereingaben zu simulieren.
Für die unmittelbare Zukunft müssen Nutzer einen vorsichtigeren Ansatz beim öffentlichen Laden verfolgen. Die wirksamste Verteidigung ist der komplette Verzicht auf öffentliche USB-Ports. Stattdessen sollten Personen ihre eigenen Netzteile verwenden und direkt in Steckdosen laden. Der Einsatz tragbarer Powerbanks ist ebenfalls eine sichere Alternative.
Anzeige: Für alle, die unterwegs laden müssen: Neben Powerbank und Datenblocker sollten Sie Ihr Android gezielt abhärten. Der Gratis?Guide zeigt praxistauglich die 5 wichtigsten Maßnahmen, schließt häufig unterschätzte Lücken und kommt mit Checklisten für geprüfte Apps und Updates. So erhöhen Sie in wenigen Minuten Ihr Schutzniveau auch ohne Spezialwissen. Gratis?Sicherheitspaket für Android sichern
Für diejenigen, die unbedingt einen öffentlichen USB-Port nutzen müssen, ist ein USB-Datenblocker ein kleiner, preiswerter Adapter, der Strom durchlässt, aber die Datenübertragungsstifte physisch blockiert ein einfaches und wirksames Werkzeug gegen Choicejacking und Juice Jacking.
