Het kantoor van de FBI in Denver heeft via de pers en social media gewaarschuwd voor smartphone opladers in openbare ruimtes, winkels, luchthavens en dergelijke. Het laden mag dan wel gratis zijn, de kans is reëel dat de echte prijs bestaat uit het ontvangen van malware of ongevraagd delen van informatie.
De waarschuwing van de FBI past op een regel. “Avoid using free charging stations in airports, hotels or shopping centers.” Het advies is eveneens kort. “Carry your own charger and USB cord and use an electrical outlet to power up your device instead”
Oud en bekend risico
Volgens de politiedienst hebben kwaadwilligen uitgevonden hoe zij via USB data kunnen pushen naar een smartphone en ook data van dat toestel kopiëren. Dat die melding nu komt verbaast. Het risico is immers al net zo oud al de protocollen voor USB zelf. Normaal is specifieke toestemming gegeven nodig om bij het aansluiten data in plaats van, of samen met, spanning voor de accu te transporteren.
Al +10 jaar is bekend dat deze toestemming omzeild kan worden. Voorheen was dat nog op POC niveau, schijnbaar is dat nu voorbij en komt deze manier van datadiefstal en besmetting in het wild voor. Dan zijn de beste plekken om deze cybercrime te plegen inderdaad luchthavens en wat de FBI nog meer noemt.
Beurzen
Als de FBI deze melding maar goed genoeg verspreid gaat iedere IT beursbezoeker daar iets van merken. Waarom? Omdat het gebruikelijk is bij dit soort events dat flex werkplekken, coffeecorners en dergelijke door een sponsor worden voorzien van opladers voor smartphones. Reken maar dat het lastig wordt dat te blijven aanbieden als “de politie” waarschuwt. Wat er dan gebeurt is het verhaal van de USB stick. Jarenlang was dat een gadget waarmee je als standhouder op een beurs kon scoren. Sinds (bijna) iedereen begrijpt dat dit ook de manier is om malware te verspreiden en het misbruik van de stick met opdruk tot imagoschade kan leiden is dat verleden tijd.
Ander risico
De waarschuwing van de FBI klopt, want smartphone opladers die alleen USB stekkers accepteren zijn echt een security risico. Beursexposanten kunnen niet overal stekkerdozen ter beschikking stellen, dat levert namelijk weer een ander soort risico op.
(illustratie via Veloxiti)