Começamos a encontrar por Lisboa nas novas paragens de autocarros da Carris – em obras de execução muito contestada – portas USB para carregamento de dispositivos móveis. Ora, muito bem, a ideia parece boa. O problema é que não devemos carregar os nossos dispositivos em portas USB públicas.
Recentemente, o FBI alertou os cidadãos norte-americanos: “não deve carregar o seu telemóvel numa porta USB pública” devido ao risco de “juice jacking”. É verdade que, quando estamos em viagem é frequente precisarmos de carregar a bateria dos novos dispositivos sejam eles telemóveis ou tablets e se nos encontrarmos num hotel, aeroporto ou paragem de autocarro com uma porta USB a tentação de a usar para esse efeito é grande. O problema é que isso irá expor o dispositivo a uma técnica conhecida como “juice jacking”, em que se podem usar as portas USB públicas para instalar malware e software de monitorização nos dispositivos aqui ligados. Teoricamente, o tipo de ferramentas que podem ser instaladas desta forma pode permitir o acesso ao conteúdo do smartphone e o furto de palavras-passe, para uso em operações de roubo de identidade, acesso à conta bancária ou simplesmente a venda de informações pessoais na dark web.
Para ser uma vítima de “juice jacking” é suficiente ligar o smartphone a uma porta USB num aeroporto, hotel, centro comercial ou qualquer outra localização pública: A FCC (Comissão Federal de Comunicações dos Estados Unidos) alertou que devemos considerar que qualquer porta USB pública pode estar comprometida. Há, contudo, grandes diferenças entre portas USB públicas: dependendo do tipo e do que está do outro lado da porta o risco pode ser elevado ou praticamente nulo (mas nunca de zero): Os mais perigosos são certamente os de hotéis e restaurantes onde não há confiança no que existe do outro lado da cablagem podendo ser um computador utilizado por alguém mal intencionado ou comprometido por uma entidade terceira. Também é possível usar uma destas portas para ligar um computador (se tiverem os pinos de dados activos) e entrar no equipamento que se encontra do outro lado e, se este for um computador, invadir e comprometer esta máquina, afectando posteriormente os equipamentos móveis que aqui forem ligados. Num aeroporto ou paragem de autocarro esta operação exige a participação da empresa de manutenção ou de alguém que tenha acesso aos equipamentos o que é um risco também longe de displiciente (o contrato da JC Decaux em Lisboa assume que a empresa irá manter estas portas algo que fará, obviamente, através de uma empresa terceira).
A prudência dita então que devemos assumir que todas as portas USB públicas são perigosas.
O raiz do problema reside no próprio padrão USB: Os cabos USB-A têm 4 pinos — 2 para transferência de energia e 2 para transferência de dados. Ligar o smartphone a uma porta USB com um cabo USB normal potencialmente significa conectá-lo directamente a um dispositivo que pode transferir dados para ou a partir dele.
Práticas recomendadas:
1. Tenha sempre consigo um banco USB e carregue-o em tomadas públicas e use apenas este equipamento para carregar os seus dispositivos.
2. Perante portas USB públicas use-as apenas para carregar bancos USB: nunca telemóveis ou tablets.
3. Lembre-se que os portáteis também têm portas USB que pode usar para carregar os seus dispositivos.
4. Há cabos USB especiais que bloqueiam a transferência de dados USB: se tiver um destes cabos pode usá-lo com segurança em qualquer portas USB pública.
5. Se apesar de tudo ligar o seu equipamento numa destas portas: esteja atento ao seu smartphone: verifique se aparece alguma pop-up a perguntar se confia no dispositivo, se aparece algum storage ou se alguém de incomum acontece ao telemóvel.
Razões para – nunca – ligar um dispositivo móvel numa porta USB pública como as que a JC Decaux colocou nas paragens de autocarro em Lisboa:
1. Portas USB públicas podem ser alvo de hackers que usam técnicas como “juice jacking” para instalar malware nos dispositivos conectados, potencialmente comprometendo a segurança destes equipamentos.
2. Ao ligar o nosso telemóvel a uma porta USB pública, corremos o risco de ter os nossos dados pessoais roubados, incluindo informações sensíveis como palavras-passe, dados bancários e informações de identidade.
3. Mesmo que os nossos dispositivos estejam actualizados com as últimas correcções de segurança (o que deve acontecer: sempre), ainda assim podem ser vulneráveis a ataques “zero day” ou outras formas de exploração de vulnerabilidades desconhecidas.
4. É seguro carregar o nosso telemóvel com um carregador próprio e uma tomada de parede, ou usarr bancos portáteis USB em vez de confiar em portas USB públicas.
Em suma, conectar um telemóvel a uma porta USB numa paragem de autocarro representa um risco significativo para a segurança dos nossos dados pessoais e é melhor evitar fazê-lo sempre que possível.
Ler também:
https://repositorio.ual.pt/bitstream/11144/2640/1/TESE%20COMPLETA2.pdf
https://www.fcc.gov/juice-jacking-tips-to-avoid-it
https://www.publico.pt/2023/04/13/tecnologia/perguntaserespostas/juice-jacking-quao-perigoso-ligar-telemovel-estacoes-carregamento-publicas-2046013
https://uk.style.yahoo.com/fbi-warns-against-using-public-170616785.html
https://www.concorrencia.pt/sites/default/files/processos/ccent/AdC-CCENT_2021_36-Decisao-VNC-final-net.pdf
Iniciativa CpC: Cidadãos pela Cibersegurança 