Heutzutage sind USB-Ladestationen allgegenwärtig, man findet sie in Flughäfen, Schnellrestaurants und sogar Bussen. Doch stellt sich die Frage: Wie sicher sind diese öffentlichen Lademöglichkeiten wirklich? Besteht die Gefahr, dass Ihr Smartphone oder Tablet durch die Nutzung gehackt werden könnte? Wir haben uns das genauer angesehen!
Warnungen von Experten
Einige Fachleute raten zur Vorsicht bei der Nutzung öffentlicher USB-Ladestationen. Bereits Anfang des Jahres wiesen Experten des IBM-Sicherheitsteams X-Force Red in dringenden Warnungen auf die potenziellen Gefahren hin.
Caleb Barlow, Vice President of Threat Intelligence bei X-Force Red, vergleicht die Nutzung eines öffentlichen USB-Anschlusses mit dem Benutzen einer fremden Zahnbürste: „Man hat keine Ahnung, wo das Ding vorher war.“ Er betont, dass USB-Anschlüsse nicht nur Strom übertragen, sondern auch Daten zwischen Geräten austauschen können.
Moderne Geräte bieten zwar Schutzmechanismen und fragen vor dem Datenaustausch um Erlaubnis („Diesem Computer vertrauen?“), doch Sicherheitslücken können diese Schutzmaßnahmen umgehen. Das Verbinden mit einem Standard-Netzteil an einer herkömmlichen Steckdose ist unbedenklich, bei öffentlichen USB-Anschlüssen besteht jedoch das Risiko einer Datenübertragung.
Mit etwas technischem Know-how kann ein USB-Anschluss manipuliert werden, um Malware auf ein angeschlossenes Smartphone zu übertragen. Besonders gefährdet sind Geräte mit Android oder älteren iOS-Versionen, die möglicherweise nicht auf dem neuesten Stand der Sicherheitsupdates sind.
Diese Warnungen mögen alarmierend wirken, doch wir haben genauer recherchiert, um herauszufinden, wie real diese Bedrohungen sind.
Theorie und Praxis
Sind USB-basierte Angriffe auf mobile Geräte also nur eine theoretische Möglichkeit? Die Antwort lautet ganz klar: Nein.
Sicherheitsforscher betrachten Ladestationen schon länger als potenzielles Einfallstor für Angriffe. Der IT-Sicherheitsexperte Brian Krebs prägte bereits 2011 den Begriff „Juice Jacking“, um diese Art von Angriffen zu beschreiben. Mit der zunehmenden Verbreitung mobiler Geräte rückte diese Thematik immer stärker in den Fokus der Forschung.
Auf der Sicherheitskonferenz Defcon demonstrierte die „Wall of Sheep“ 2011 mit präparierten Ladestationen, dass Geräte bei der Verbindung ein Pop-up anzeigen können, welches vor den Risiken einer Verbindung mit unbekannten Geräten warnt.
Zwei Jahre später präsentierten Forscher des Georgia Tech Instituts auf der Blackhat USA Konferenz eine Methode, wie sich eine als Ladestation getarnte Vorrichtung nutzen lässt, um Malware auf Geräten mit der neuesten iOS-Version zu installieren.
Es gibt viele weitere Beispiele. Die entscheidende Frage ist jedoch: Wie häufig kommt „Juice Jacking“ tatsächlich in der Praxis vor? Hier wird die Lage etwas unklar.
Das tatsächliche Risiko
Obwohl „Juice Jacking“ ein beliebtes Forschungsthema ist, gibt es kaum dokumentierte Fälle von tatsächlichen Angriffen. Die meisten Medienberichte beziehen sich auf Machbarkeitsstudien von Forschern an Universitäten oder IT-Sicherheitsunternehmen. Dies liegt wahrscheinlich daran, dass es sehr aufwendig und riskant ist, eine öffentliche Ladestation zu manipulieren.
Ein Angreifer müsste spezielle Hardware installieren, was an einem belebten Flughafen mit strengen Sicherheitskontrollen sehr schwierig wäre. Die Kosten und Risiken machen „Juice Jacking“ für groß angelegte Angriffe auf die breite Öffentlichkeit eher ungeeignet.
Hinzu kommt, dass solche Angriffe relativ ineffizient sind. Sie können nur Geräte infizieren, die direkt an die manipulierte Ladestation angeschlossen werden. Zudem sind sie oft auf Sicherheitslücken angewiesen, die von Herstellern wie Apple oder Google regelmäßig behoben werden.
Sollte ein Hacker eine öffentliche Ladestation manipulieren, würde er dies wahrscheinlich nicht tun, um wahllos Geräte zu infizieren, sondern um einen gezielten Angriff auf eine bestimmte Person durchzuführen.
Sicherheit geht vor
Es ist wichtig, die Sicherheitsrisiken mobiler Geräte nicht zu unterschätzen. Smartphones werden durchaus für die Verbreitung von Malware missbraucht. Auch gab es bereits Fälle, in denen Geräte infiziert wurden, weil sie mit einem infizierten Computer verbunden waren.
In einem Reuters-Artikel aus dem Jahr 2016 berichtete Mikko Hypponen von F-Secure über einen besonders gefährlichen Android-Malware-Stamm, der bei einem europäischen Flugzeughersteller auftauchte.
„Hypponen erzählte, dass ein europäischer Flugzeughersteller wöchentlich die Cockpits seiner Flugzeuge von Malware bereinigen müsse, die für Android-Handys entwickelt worden war. Die Malware wurde auf die Flugzeuge übertragen, weil Mitarbeiter ihre Telefone über die USB-Anschlüsse im Cockpit aufgeladen hatten“, so der Artikel.
Das Betriebssystem des Flugzeugs selbst sei nicht betroffen gewesen, aber die Geräte, die an den gleichen USB-Anschluss angeschlossen wurden, infizierten sich.
Man schließt eine Hausratversicherung nicht ab, weil man erwartet, dass das eigene Haus abbrennt, sondern um für den Ernstfall vorzusorgen. Ebenso sollten Sie auch bei der Nutzung von USB-Ladestationen vorsichtig sein. Nutzen Sie nach Möglichkeit lieber eine reguläre Steckdose. Alternativ können Sie eine Powerbank verwenden, um Ihr Gerät zu laden. Im Idealfall sollten Sie Ihr Smartphone nicht direkt an öffentliche USB-Anschlüsse anschließen.
Auch wenn die Gefahr eines „Juice Jacking“-Angriffs gering ist, ist Vorsicht besser als Nachsicht. Vermeiden Sie es, Ihre Geräte an USB-Anschlüsse anzuschließen, denen Sie nicht vertrauen.