Atualmente, é comum encontrarmos estações de carregamento USB em aeroportos, restaurantes de fast-food e até mesmo em ônibus. Contudo, surge a questão: será que estas portas públicas são realmente seguras? Existe o risco de um telefone ou tablet ser invadido ao utilizá-las? Vamos analisar este cenário.
A preocupação levantada por especialistas
Alguns especialistas alertam para os possíveis riscos associados ao uso de estações de carregamento USB públicas. No início deste ano, investigadores da X-Force Red, uma equipa de testes de penetração da IBM, emitiram avisos sobre os perigos potenciais destas estações.
Caleb Barlow, vice-presidente de inteligência de ameaças da X-Force Red, compara a conexão a uma porta USB pública a utilizar uma escova de dentes encontrada na rua: “Não fazemos ideia por onde essa coisa passou”. Barlow enfatiza que as portas USB não só fornecem energia, como também transferem dados entre dispositivos.
A tecnologia atual permite que o utilizador controle a transferência de dados, impedindo que um dispositivo aceite dados de uma porta USB sem a sua autorização. Em iPhones, por exemplo, surge a pergunta “Confiar neste computador?”. No entanto, uma falha de segurança pode contornar esta proteção. Ao conectar um adaptador de energia a uma tomada, a situação é diferente, pois não há transferência de dados. Em contrapartida, ao usar uma porta USB pública, o utilizador depende de uma conexão que pode potencialmente transportar dados.
Com alguma habilidade técnica, é possível transformar uma porta USB numa ferramenta para disseminar malware para um dispositivo conectado. Este risco é maior em dispositivos Android ou em versões mais antigas do iOS, que podem não ter as atualizações de segurança mais recentes.
Apesar de parecer alarmante, será que estas preocupações se baseiam em situações reais? Analisemos mais a fundo.
Da teoria à realidade
A questão que se impõe é: os ataques a dispositivos móveis através de USB são apenas teóricos? A resposta é claramente não.
Há muito que as estações de carregamento são consideradas um potencial vetor de ataque por especialistas em segurança. Em 2011, Brian Krebs, jornalista da área de segurança da informação, cunhou o termo “juice jacking” para descrever este tipo de ataque. Com a crescente utilização de dispositivos móveis, esta área tornou-se um foco de atenção para muitos investigadores.
Em 2011, no evento Wall of Sheep, durante a conferência de segurança Defcon, foram instaladas cabines de carregamento que, ao serem utilizadas, exibiam um alerta sobre os perigos de se conectar a dispositivos não confiáveis.
Dois anos depois, no evento Blackhat USA, investigadores da Georgia Tech demonstraram uma ferramenta capaz de se disfarçar de estação de carregamento e instalar malware em dispositivos com a versão mais recente do iOS na altura.
Poderíamos continuar com mais exemplos, mas a ideia já está clara. A questão central é: será que a descoberta do “Juice Jacking” resultou em ataques reais? É aqui que as coisas se tornam um pouco incertas.
Entendendo o risco
Apesar do “juice jacking” ser um tema popular entre investigadores de segurança, não há muitos exemplos documentados de ataques que utilizem esta abordagem como arma. A maioria das notícias foca-se em demonstrações de conceito realizadas por investigadores de universidades e empresas de segurança. Isto acontece, provavelmente, porque é difícil utilizar uma estação de carregamento pública como ferramenta de ataque.
Para invadir uma estação de carregamento pública, um atacante teria de obter hardware específico (como um computador em miniatura para implantar malware) e instalá-lo sem ser detetado. Esta tarefa é difícil num aeroporto movimentado, onde os passageiros estão sob vigilância constante e as ferramentas, como chaves de fenda, são confiscadas. O custo e o risco associados tornam o “juice jacking” inadequado para ataques a alvos aleatórios.
Outro ponto a considerar é a ineficiência destes ataques, que apenas podem infetar dispositivos conectados à estação. Além disso, estes ataques dependem de falhas de segurança que os fabricantes de sistemas operativos, como Apple e Google, corrigem regularmente.
Na realidade, se um hacker interferir numa estação de carregamento pública, provavelmente estará a executar um ataque direcionado a um indivíduo específico, e não a um viajante comum a precisar de carregar o seu telemóvel.
Priorizando a segurança
Este artigo não pretende minimizar os riscos de segurança relacionados com dispositivos móveis. Os smartphones podem ser usados para disseminar malware, e existem casos de telefones infetados ao serem ligados a computadores com software malicioso.
Em 2016, num artigo da Reuters, Mikko Hypponen, uma figura pública da F-Secure, descreveu uma forma particularmente perigosa de malware Android que afetou um fabricante europeu de aeronaves.
Hypponen explicou que um fabricante de aeronaves europeu limpa as cabines dos seus aviões todas as semanas para remover malware projetado para telefones Android. O malware propagou-se para os aviões porque os funcionários carregavam os seus telefones nas portas USB das cabines. Embora o avião não fosse afetado por operar um sistema diferente, o vírus propagava-se para outros dispositivos conectados ao carregador.
Tal como adquirimos um seguro de casa não por esperar que ela pegue fogo, mas para estarmos preparados para o pior, devemos tomar precauções ao utilizar estações de carregamento. Sempre que possível, use uma tomada de parede em vez de uma porta USB. Se não for possível, considere carregar uma bateria portátil em vez do seu dispositivo. Pode também conectar uma bateria portátil e carregar o telemóvel enquanto a bateria carrega. Em resumo, evite ligar o seu telemóvel diretamente a portas USB públicas.
Apesar de os riscos documentados serem poucos, é sempre melhor prevenir do que remediar. Como regra geral, evite ligar os seus dispositivos a portas USB nas quais não confia.