Videojacking: come rubare password a uno smartphone usando un caricabatteria



[ZEUS News - www.zeusnews.it - 14-08-2016]

vidjackback

Durante il recente convegno di sicurezza DEF CON di Las Vegas sono state presentate numerose tecniche di attacco informatico davvero creative e originali che è meglio conoscere per evitarle. Una di queste tecniche consente di rubare password, leggere mail e sorvegliare la navigazione semplicemente offrendo alla vittima di caricare la batteria del suo smartphone.

Il trucco, chiamato videojacking, funziona così: la vittima si trova in un luogo pubblico, a corto di carica (come capita spesso con gli smartphone di oggi), e vede che c'è un punto di ricarica per telefonini cortesemente offerto, come capita per esempio in alcuni aeroporti, sui treni e sugli aerei. Collega il telefonino e comincia a usarlo. Che male ci potrà mai essere? È solo una ricarica di energia elettrica.

In realtà i connettori degli smartphone non portano soltanto energia elettrica per la carica della batteria: veicolano anche segnali. Così si catturano questi segnali, e in particolare il segnale video in uscita dal telefonino (quello che consente di mostrare su un monitor lo schermo dello smartphone), in modo da vedere e registrare tutto quello che compare sullo schermo, comprese le password digitate, riconoscibili dal fatto che i singoli tasti toccati per digitare la password si animano quando vengono usati. Questo consente anche di catturare i PIN di blocco.

La particolarità di questa tecnica è che al momento è invisibile per la vittima: sia gli smartphone Android, sia gli iPhone non avvisano l'utente quando viene collegato un connettore che non solo fornisce corrente elettrica ma riceve anche i segnali video dallo schermo.

I ricercatori Brian Markus di Aries Security e i suoi colleghi Joseph Mlodzianowski e Robert Rowley hanno dimostrato il metodo d'intercettazione improvvisando un apparato dimostrativo con un monitor HDMI di seconda mano, un video splitter e un piccolo registratore video USB. Costo complessivo: circa 220 dollari a parte il monitor.

Sondaggio
Secondo te, come bisogna definire chi commette intrusioni informatiche?
un hacker
un cracker
un grissino

Mostra i risultati (5123 voti)
Leggi i commenti (111)

Questa tecnica è una variante del juice jacking, che fino a qualche tempo fa consentiva di rubare dati agli smartphone che venivano incautamente collegati a punti di ricarica sconosciuti; il problema è stato risolto nelle versioni aggiornate dei dispositivi e dei loro sistemi operativi.

Morale della storia: se avete uno smartphone, pensateci bene prima di collegarlo a un dispositivo di ricarica che non sia vostro o comunque fidato, e portate se possibile il vostro o perlomeno usate uno USB condom che blocchi tutti i collegamenti tranne quelli di alimentazione elettrica. No, non sto scherzando: esiste davvero e si chiama proprio così.

Fonte: Krebs on Security.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (3)

A parte la stupidità di integrare in un unico connettore alimentazione e dati; Se lo smartphone è in standby non succede nulla.
16-8-2016 22:20

Io uso solo il mio caricabatterie ed un power bank, non mi sogno neppure di ricaricare il mio smartphone con un caricabatterie qualsiasi anche perché potrebbe pure essere inadatto e guastarmi il dispositivo.
14-8-2016 14:29

{Paolo Del Bene}
Dai cavi del mio caricabatterie escono solo due cavi:uno nero - ed uno bianco + dunque non si può rubare alcunché.
13-8-2016 23:53

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Fidanzati sospettosi o inguaribili diffidenti, qual è la vostra arma preferita tra quelle che Facebook mette a disposizione di voi gelosoni per controllare il vostro partner?
I cuoricini in bacheca: un segno per far sentire sempre e dovunque la propria presenza, nonché un espediente per marcare il territorio del partner.
L'applicazione "Chi ti segue di più?": bisogna convincere il partner a usare questa applicazione (apparentemente innocua) per scovare eventuali vittime da annotare sulla propria black list.
Facebook Places: permette di taggare compulsivamente il partner e rendere noto al mondo intero il fatto che lei e il suo lui si trovano sempre insieme.
L'auto tag nelle foto: indispensabile strumento per essere certi di ricevere notifiche qualora un'altra persona osasse commentare o piazzare "Mi piace" alle foto del/della partner.
I commenti minatori: il simpatico approccio ossessivo-compulsivo verso chi tagga il partner o ne invade la bacheca. Di solito consiste in un discreto: "Che bello il MIO amore!"
Il profilo Facebook in comune: un unico profilo scoraggia anche il più audace dei rivali dal tentare un approccio.
La password nota al partner: Della serie: "Amore, se non mi nascondi niente allora posso avere la tua password?". Nessun messaggio di posta, commento o notifica è al sicuro.
Il tasto "Rimuovi dagli amici": una volta in possesso della password del partner, qualsiasi rivale dalla foto profilo provocante o la cui identità è sconosciuta verrà subito rimosso dagli amici.
La trappola: spacciandosi per il partner (password nota), si inizia a contattare i presunti rivali e testare le loro intenzioni con domande e allusioni per far cadere in trappola anche i più astuti.
Il Mi piace minatorio: post, foto, tag, nuove amicizie sono regolarmente marchiati da un Mi piace del partner. Dietro una parvenza di apprezzamento, dimostrano quanto in realtà NON piaccia l'elemento.

Mostra i risultati (432 voti)
Maggio 2025
Android 16 e lo smartphone diventa un PC
Apocalisse Bitcoin
Da Asus la scheda video col giroscopio per prevenire il sagging
Perso per sempre il codice sorgente di Fallout
Aprile 2025
Windows Recall è ora ufficialmente disponibile
"Imbrogliare su tutto": dagli esami universitari ai colloqui di lavoro
Intel pronta a licenziare 20.000 persone
Fire TV stick, Amazon pronta a lasciare Android per Vega OS
Siti per adulti, Agcom impone la verifica dell’età con il doppio anonimato
Android sempre più esigente: ora servono almeno 32 Gbyte
Il terzo giorno Android si riavvia
Microsoft: ''Non toccate la cartella misteriosa''
Windows Recall, forse è la volta buona
Le funzioni di Skype che Teams non ha
WhatsApp per Windows: non aprite quell'immagine
Tutti gli Arretrati
Accadde oggi - 9 maggio


web metrics