Juice Jacking und ChoiceJacking: Sicherheitsrisiken auf Geschäftsreisen

Das Smartphone unterwegs schnell an einer USB-Ladestation aufzuladen wirkt praktisch und gehört für viele Geschäftsreisende zum Alltag.

Fachleute warnen jedoch seit Jahren, dass manipulierte Anschlüsse zum Sicherheitsrisiko werden können.

Unter dem Begriff Juice Jacking verstehen Sicherheitsexperten Angriffe, bei denen über den Ladeanschluss Daten entwendet oder Schadsoftware eingeschleust wird.

Lange Zeit galt das als theoretisches Szenario, denn bislang wurden entsprechende Fälle nur in Forschungsprojekten dokumentiert. Dennoch warnen Behörden wie das FBI und die US-Kommunikationsaufsicht FCC regelmäßig davor, öffentliche Ladepunkte zu nutzen, da die technische Möglichkeit nach wie vor besteht.

Die Idee hinter Juice Jacking ist schnell erklärt:

Während die Nutzer davon ausgehen, lediglich den Akku zu laden, kann im Hintergrund ein Zugriff auf Fotos, Passwörter oder Dokumente erfolgen. Auch die Installation von Apps oder Schadsoftware ist technisch möglich. Erste Proof-of-Concepts wurden bereits 2011 auf Sicherheitskonferenzen vorgestellt.

Seither haben Apple und Google ihre Betriebssysteme so angepasst, dass neue Verbindungen bestätigt werden müssen und spontane Zugriffe ohne Zustimmung erschwert sind.

Untersuchungen zeigen, dass es verschiedene Angriffsszenarien gibt. Manche Kabel können sich beispielsweise wie eine Tastatur oder Maus verhalten und Befehle an das Gerät schicken. Andere Attacken greifen den Bildschirminhalt ab und lesen so sensible Informationen mit. Sprachassistenten lassen sich ebenfalls missbrauchen, um Befehle auszuführen oder Gespräche abzufangen.

In Laborumgebungen wurde zudem nachgewiesen, dass sich über den Stromverbrauch eines Geräts Rückschlüsse auf geöffnete Webseiten oder sogar auf eingegebene PINs ziehen lassen.

Besondere Aufmerksamkeit erhält derzeit die von Grazer Forschern dokumentierte Methode ChoiceJacking.

Sie zeigt, dass Sicherheitsabfragen auf Smartphones teilweise automatisch bestätigt werden können. In Tests erwiesen sich alle gängigen Systeme als verwundbar, sowohl Android- als auch iOS-Geräte. Brisant ist, dass ein Angriff innerhalb von Millisekunden erfolgen kann, sobald ein Gerät angeschlossen wird. Für Geschäftsreisende bedeutet das, dass frei zugängliche Ladepunkte an Flughäfen, Bahnhöfen oder ausleihbare Powerbanks möglichst gemieden werden sollten.

Absolute Sicherheit gibt es nicht, doch einfache Maßnahmen reduzieren das Risiko erheblich. Am besten wird das eigene Netzteil genutzt und das Gerät direkt an einer Steckdose geladen. Eine geladene Powerbank im Handgepäck bietet eine sichere Alternative. Fremde oder gefundene Kabel sollten grundsätzlich nicht verwendet werden, da sich hier Angriffe besonders leicht verbergen lassen. Adapter, die Datenleitungen blockieren, bieten nur begrenzten Schutz.

Nicht nur USB-Anschlüsse bergen Gefahren. Auch QR-Codes können missbraucht werden. Beim sogenannten Quishing platzieren Kriminelle manipulierte Codes etwa an Parkautomaten, in Restaurants oder auf Infotafeln. Der Scan führt nicht zur gewünschten Informationsseite, sondern zu gefälschten Shops oder Banking-Portalen, die persönliche Daten abfragen. Wer geschäftlich unterwegs ist, sollte daher die angezeigte Webadresse prüfen und nur Codes aus vertrauenswürdigen Quellen scannen.

Juice Jacking war bisher vor allem ein Thema für Forschung und Sicherheitskonferenzen. Mit ChoiceJacking rückt es jedoch wieder stärker in den Fokus. Im Geschäftsreisealltag ist es sinnvoll, einfache Schutzmaßnahmen zu beachten. Wer auf eigene Ausrüstung setzt, schützt nicht nur sein Smartphone, sondern auch sensible Unternehmensdaten.

Vertrauen Sie auf unsere Erfahrung im Geschäftsreisemanagement – als Reisebüro für Geschäftsreisen sorgen wir dafür, dass Ihre Reisen effizient geplant sind und Sie jederzeit optimal betreut werden.