Videojacking: come rubare password a uno smartphone usando un caricabatteria



[ZEUS News - www.zeusnews.it - 14-08-2016]

vidjackback

Durante il recente convegno di sicurezza DEF CON di Las Vegas sono state presentate numerose tecniche di attacco informatico davvero creative e originali che è meglio conoscere per evitarle. Una di queste tecniche consente di rubare password, leggere mail e sorvegliare la navigazione semplicemente offrendo alla vittima di caricare la batteria del suo smartphone.

Il trucco, chiamato videojacking, funziona così: la vittima si trova in un luogo pubblico, a corto di carica (come capita spesso con gli smartphone di oggi), e vede che c'è un punto di ricarica per telefonini cortesemente offerto, come capita per esempio in alcuni aeroporti, sui treni e sugli aerei. Collega il telefonino e comincia a usarlo. Che male ci potrà mai essere? È solo una ricarica di energia elettrica.

In realtà i connettori degli smartphone non portano soltanto energia elettrica per la carica della batteria: veicolano anche segnali. Così si catturano questi segnali, e in particolare il segnale video in uscita dal telefonino (quello che consente di mostrare su un monitor lo schermo dello smartphone), in modo da vedere e registrare tutto quello che compare sullo schermo, comprese le password digitate, riconoscibili dal fatto che i singoli tasti toccati per digitare la password si animano quando vengono usati. Questo consente anche di catturare i PIN di blocco.

La particolarità di questa tecnica è che al momento è invisibile per la vittima: sia gli smartphone Android, sia gli iPhone non avvisano l'utente quando viene collegato un connettore che non solo fornisce corrente elettrica ma riceve anche i segnali video dallo schermo.

I ricercatori Brian Markus di Aries Security e i suoi colleghi Joseph Mlodzianowski e Robert Rowley hanno dimostrato il metodo d'intercettazione improvvisando un apparato dimostrativo con un monitor HDMI di seconda mano, un video splitter e un piccolo registratore video USB. Costo complessivo: circa 220 dollari a parte il monitor.

Sondaggio
Secondo te, come bisogna definire chi commette intrusioni informatiche?
un hacker
un cracker
un grissino

Mostra i risultati (4948 voti)
Leggi i commenti (111)

Questa tecnica è una variante del juice jacking, che fino a qualche tempo fa consentiva di rubare dati agli smartphone che venivano incautamente collegati a punti di ricarica sconosciuti; il problema è stato risolto nelle versioni aggiornate dei dispositivi e dei loro sistemi operativi.

Morale della storia: se avete uno smartphone, pensateci bene prima di collegarlo a un dispositivo di ricarica che non sia vostro o comunque fidato, e portate se possibile il vostro o perlomeno usate uno USB condom che blocchi tutti i collegamenti tranne quelli di alimentazione elettrica. No, non sto scherzando: esiste davvero e si chiama proprio così.

Fonte: Krebs on Security.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (3)

A parte la stupidità di integrare in un unico connettore alimentazione e dati; Se lo smartphone è in standby non succede nulla.
16-8-2016 22:20

Io uso solo il mio caricabatterie ed un power bank, non mi sogno neppure di ricaricare il mio smartphone con un caricabatterie qualsiasi anche perché potrebbe pure essere inadatto e guastarmi il dispositivo.
14-8-2016 14:29

{Paolo Del Bene}
Dai cavi del mio caricabatterie escono solo due cavi:uno nero - ed uno bianco + dunque non si può rubare alcunché.
13-8-2016 23:53

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Sei a cena fuori e decidi di pagare con la carta di credito/debito. Quale tra queste situazioni preferisci?
Il cameriere porta la carta di credito/debito alla cassa e poi, dopo il pagamento, torna con la carta e lo scontrino
Il cameriere porta il terminale al tavolo dove viene effettuata la transazione
Il cameriere copia le informazioni della carta di credito/debito ed effettua il pagamento successivamente così non c'è bisogno di aspettare

Mostra i risultati (2603 voti)
Ottobre 2022
DALL-E diventa libero e gratuito: immagini sintetiche per tutti
Settembre 2022
Google ti avvisa se i tuoi dati finiscono nel web
La “tanica di benzina” per le auto elettriche
La strana storia dell'utente HME2 di Arpanet
LibreOffice diventa a pagamento
2022, fuga dall'open source
Dati a spasso nel cloud
Di chi sono i tuoi dati quando muori?
Smartphone, l'UE vuole pezzi di ricambio disponibili per almeno 5 anni
Ex designer di Microsoft demolisce il menu Start di Windows 11
Auto Hyundai “hackerata”
Agosto 2022
Genitori indagati dopo aver mandato foto dei figli ai medici
DuckDuckGo, la protezione delle email è per tutti
Il computer portatile economico che fa a meno del monitor
Microsoft avvisa: attenzione all'aggiornamento KB501270
Tutti gli Arretrati
Accadde oggi - 7 ottobre


web metrics