Com o aumento do número de ciberataques, a agência de investigação federal norte-americana (FBI) alertou para o uso de estações de carregamento USB públicas em centros comerciais, aeroportos e hotéis. É um alerta que já foi feito por várias organizações no passado devido ao juice jacking – expressão inglesa, cunhada em 2011, que se refere a um ataque teórico que usa conexões USB para infectar dispositivos electrónicos como smartphones, portáteis e tablets. Vários destes avisos têm sido alvo de escrutínio devido à falta de exemplos reais do ataque.

Quão comuns são estes ataques, afinal? Como acontecem? Quais os riscos? O PÚBLICO preparou um conjunto de perguntas e respostas.

Como funciona o juice jacking?

Em teoria, as portas de carregamento de USB públicas (instaladas em aeroportos, hotéis e outros locais para ajudar pessoas a carregar aparelhos) podem ser substituídas por versões modificadas, criadas por criminosos para enviar programas danosos para dispositivos móveis ligados à corrente. Isto funciona, porque a ligação USB é concebida para transportar tanto electricidade como dados (incluindo vírus). O ataque também pode ocorrer através de cabos USB públicos (por exemplo, carregadores emprestados em hotéis).

A expressão inglesa juice jacking refere-se à possibilidade de usar a actividade de carregar um aparelho (em inglês, juice refere-se a combustível) para um roubo de dados (jacking).

Que ataques estão envolvidos no juice jacking?

Há, pelo menos, quatro tipos diferentes de ciberataques que podem ser desencadeados via juice jacking: roubo de dados, envio de vírus, infecção em massa (o aparelho infectado torna-se portador e transmissor de um vírus) e bloqueio de acesso. Neste último ataque, o dono do dispositivo perde o controlo do aparelho para os hackers.

Quem descobriu o ataque?

A expressão foi primeiro usada em 2011 por especialistas de cibersegurança. Foi cunhada por Brian Krebs, presidente executivo da empresa Aires Security, que demonstrou o ataque durante a edição desse ano da Def Con, uma conferência mundial de hackers que ocorre anualmente em Las Vegas, nos EUA. Investigadores da Aires Security montaram um quiosque de carregamento público no evento. Só que, além de carregar os aparelhos, as estações de carregamento enviavam notificações aos telemóveis onde se lia: “Não se deve confiar nos quiosques públicos. Há dados que podem ser enviados ou descarregados sem o seu consentimento.” Desde então, várias especialistas de cibersegurança têm mostrado como a vulnerabilidade pode ser explorada.

Conhecem-se casos reais?

Há poucos casos registados da ocorrência, frequentemente oriundos de relatos vagos partilhados em fóruns online. Para desencadear estes ataques, os criminosos têm de alterar as portas de carregamento USB físicas; é mais fácil investir em ataques via phishing (engenharia social) para levar as vítimas a divulgar credenciais de acesso ou instalar ficheiros danosos por engano. Na maioria dos telemóveis modernos, a transferência de dados também está bloqueada por defeito.

Se está preocupado, porque usou recentemente uma estação de USB pública, instale um antivírus para garantir que o aparelho está limpo de programas danosos. “Embora o juice jacking seja uma ameaça verdadeira, até agora há poucas provas de que se tenha tornado um problema generalizado. A Apple e o Google também desenvolveram características de segurança nos sistemas operativos iOS e Android para prevenir juice jacking”, lê-se numa nota da empresa de cibersegurança Norton sobre o assunto.

Como posso evitar?

A melhor forma de escapar ao juice jacking é evitar estações de carregamento públicas. Prefira transportar um acumulador de energia, como um powerbank, ou ligar o telemóvel a tomadas na parede que não permitem transferir dados. Regra geral, um powerbank com 10,000 mAH permite carregar um smartphone entre uma a duas vezes antes de precisar de ser recarregado – há várias opções a partir dos 20 euros. Se viaja com frequência, invista num adaptador para garantir que consegue ligar o aparelho à tomada correcta (há cerca de 15 modelos em todo o mundo).

Se ainda assim sente que vai precisar de recorrer a tomadas USB públicas, pode pensar em comprar um USB Data Blocker. É uma espécie de pen (com entrada USB) que funciona como uma ponte entre o cabo e a porta de carregamento e bloqueia a transferência de dados.