Sorge vor Überwachungssoftware: FBI warnt vor öffentlichen Handy-Ladestationen

Das Handy schnell an einer Ladestation anschließen, damit man genug Akku für die nächste Bus- oder Flugreise hat. Was banal klingt, ist ein extremes Sicherheitsrisiko. Vor diesem warnt nun auch das Federal Bureau of Investigation (FBI) Denver aus den USA auf der Microblogging-Plattform Twitter.

Viren und Überwachungssoftware über USB und Lightning

"Vermeiden Sie die Nutzung kostenloser Ladestationen in Flughäfen, Hotels oder Einkaufszentren. Kriminelle haben Wege gefunden, öffentliche USB-Anschlüsse zu nutzen, um Viren und Überwachungssoftware auf die Geräte zu bringen. Nehmen Sie Ihr eigenes Ladegerät und USB-Kabel mit und nutzen Sie stattdessen eine Steckdose."

Avoid using free charging stations in airports, hotels or shopping centers. Bad actors have figured out ways to use public USB ports to introduce malware and monitoring software onto devices. Carry your own charger and USB cord and use an electrical outlet instead. pic.twitter.com/9T62SYen9T

— FBI Denver (@FBIDenver) April 6, 2023

Die Gefahr, vor der das FBI warnt, ist nicht neu. Ganz im Gegenteil. Es handelt sich um das sogenannte "Juice-Jacking". Das wurde zum ersten Mal im August 2011 auf der "DEFCON" vorgestellt, eine der größten Veranstaltungen für Hacker. Der gezielte Angriff beim "Juice-Jacking" bezieht sich auf Angreifer, die Ladestationen in Städten, Flughäfen und anderen öffentlichen Orten gekapert haben, an denen sich Menschen zwanglos anhalten und aufladen können. Denn: Hinter den Ladestationen sind meist Computer versteckt. Wurden die mit einer Schadsoftware kompromittiert, ist der Virus mit dem Anstecken auch auf dem Handy.

Schadsoftware ist nicht als solche erkennbar

Das passiert über einen sogenannten "Handshake" zwischen Handy und Computer, bei dem zahlreiche Daten an den Computer weitergegeben werden. Diesen Handshake sollte es zwar beim Laden eigentlich nicht geben, aber Nutzerinnen und Nutzer haben keine Möglichkeit zu sehen, wann der Handshake stattfindet und wann nicht.

Dieser Handshake ist erst durch die Anschlüsse an den Mobilgeräten möglich geworden. Aktuelle USB-Anschlüsse sowie Lightning-Kabel haben neben der Ladefunktion auch die Möglichkeit, Daten an einen Rechner zu übertragen. Dafür gibt es in jedem Kabel verschiedene Pins. Unterschieden wird zwischen Lade-Pins und Daten-Pins. Je nachdem, welche Funktion gerade ausgeführt werden soll, werden andere Pins im Kabel verwendet. Bei einer manipulierten Ladestation kann neben der Lade- auch die Datenfunktion verwendet werden.

Das Perfide: Am Handy selbst ist nicht zu sehen, wann nur die Lade-Pins und wann die Daten-Pins verwendet werden. Verwendet man ein Mobiltelefon, das an eine manipulierte Ladestation angeschlossen ist, werden innerhalb kürzester Zeit Viren auf dem Smartphone installiert. Bei diesem Vorgang wird eine schon auf dem Smartphone installierte App durch eine manipulierte Version ersetzt. Die manipulierte App kann dann alle Daten des Geräts auslesen und auch neu hinzugefügte Daten, wie Passwörter oder Fotos, an eine beliebige Online-Adresse weiterleiten.

Die Gefahr ist nicht zu erkennen, weil nicht klar ist, welches Gerät am anderen Ende der Ladestation ist. Es ist nicht erkennbar, ob die Anschlüsse manipuliert worden sind. Aus diesem Grund hilft auch ein eigenes mitgebrachtes eigene Ladekabel nicht, wenn es an einen unbekannten USB-Anschluss angesteckt wird.

Wirklich schützen kann man sich vor solchen Angriffen über Ladestationen nur mit einer eigens mitgebrachten Powerbank oder einem Kabel, das ausschließlich Lade-Pins hat. Noch sicherer ist, wer sein Mobiltelefon über das Ladegerät direkt an einer Steckdose anschließt.