UCV Radio

Hace aproximadamente una década, Apple y Google empezaron a actualizar sus sistemas operativos iOS y Android para hacerlos menos vulnerables al “juice jacking”, una técnica de ataque que permite robar datos o ejecutar código malicioso al conectar un teléfono a un cargador manipulado. Sin embargo, recientes investigaciones han revelado que estas medidas de protección han presentado fallas fundamentales que las hacían fáciles de evadir desde hace años.

El término “juice jacking” fue acuñado en 2011 tras un informe publicado en KrebsOnSecurity que describía un ataque presentado durante una conferencia de seguridad Defcon. La técnica consiste en equipar un cargador con componentes ocultos que permiten acceder a archivos y otros recursos internos del teléfono, de manera similar a como lo haría una computadora cuando se conecta a un dispositivo móvil.

Los atacantes colocaban estos cargadores en aeropuertos, centros comerciales u otros espacios públicos para atraer a usuarios que necesitaban recargar sus dispositivos. Aunque aparentemente solo proporcionaban electricidad, en realidad podían descargar archivos o ejecutar programas maliciosos en segundo plano. En respuesta a esta amenaza, desde 2012, tanto Apple como Google implementaron una medida de seguridad que obligaba a los usuarios a aprobar manualmente una solicitud de conexión antes de permitir el acceso a sus teléfonos.

Esta estrategia se basaba en un principio clave del protocolo USB, que establece que un puerto solo puede actuar como “anfitrión” o “periférico”, pero no como ambos simultáneamente. En el caso de los teléfonos, esto significaba que podían:

• Actuar como anfitriones al conectar, por ejemplo, una memoria USB o un teclado, teniendo acceso a los recursos de esos dispositivos.

• O funcionar como periféricos al ser conectados a una computadora o a un cargador malicioso, que como anfitrión, tendría acceso al sistema del teléfono.

Una vulnerabilidad crítica en la seguridad USB

Investigadores de la Universidad Tecnológica de Graz, en Austria, descubrieron recientemente una falla que compromete todo el fundamento de estas medidas de protección. El problema radica en que se asumió erróneamente que un dispositivo USB no podría inyectar eventos de entrada para aprobar automáticamente las solicitudes de conexión. Dado que teóricamente un dispositivo USB no puede actuar como anfitrión y periférico al mismo tiempo, esta suposición parecía válida. Sin embargo, los modelos de confianza integrados en iOS y Android presentan brechas que pueden ser explotadas.

A partir de este hallazgo, los investigadores desarrollaron “ChoiceJacking”, el primer ataque conocido que logra evadir las mitigaciones contra el “juice jacking”.

“Observamos que estas medidas de mitigación suponen que un atacante no puede inyectar eventos de entrada al establecer una conexión de datos”, señalaron los investigadores en un artículo que será presentado en agosto en el Usenix Security Symposium en Seattle. “No obstante, demostramos que esta suposición no se sostiene en la práctica”.

Este descubrimiento pone en evidencia la urgente necesidad de revisar y reforzar los mecanismos de seguridad en dispositivos móviles para proteger a los usuarios de amenazas que, aunque antiguas, siguen vigentes y evolucionando.