空港やショッピングモールなどの公共の充電器を使って iPhone や Android スマートフォンを充電したことがある場合は、再び使用する前にもう一度よく考えてください。研究者らが、悪意のある充電器を使って脆弱なスマートフォンからデータを盗むことができる新しい攻撃方法を考案したからです。
Ars Technica の報道によると、Apple と Google は、現実世界のハッカーが充電中の携帯電話にマルウェアを感染させるジュースジャッキング攻撃に対して自社のデバイスがより耐性を持つよう、10 年以上にわたって取り組んできたという。
しかし現在、オーストリアのグラーツ工科大学の研究者らは、ジュースジャッキングに対するこれまでの緩和策を回避でき、写真や文書などの機密性の高いユーザーデータを脆弱なiOSおよびAndroidデバイスから盗むことができることを発見した。
幸いなことに、Apple と Google はどちらもユーザーを ChoiceJacking 攻撃から保護するためのアップデートをリリースしましたが、多くの高性能 Android スマートフォンは依然として脆弱です。
ここでは、この新しい ChoiceJacking 攻撃について知っておくべきことすべてと、オンラインと現実世界の両方でハッカーから携帯電話を安全に保つためのヒントとコツを紹介します。
ChoiceJacking攻撃とは何ですか?
グラーツ大学の研究者が研究結果を発表した後、AppleはiOS 18.4をリリースした。このiOSでは、USB充電器に接続されたロックされたiPhoneを操作するには、PINまたはパスワードによるユーザー認証が必要となる。
一方、Googleは昨年11月のAndroid 15のリリースに合わせてモバイルオペレーティングシステムを更新し、Pixelデバイスやその他のAndroidスマートフォンをChoiceJacking攻撃から保護しました。
最新ニュース、最も注目されているレビュー、お得な情報、役立つヒントにすぐにアクセスできます。
研究者らは、調査結果を詳述した論文の中で、ジュースジャッキングに対するAndroidの元々の緩和策を回避できる3つの異なるChoiceJacking手法を概説しており、そのうちの1つはAppleの防御策も回避できたという。
悪意のある充電器は、脆弱なスマートフォンの2つのチャネルにアクセスします。1つはデバイスの所有者を装ってコンテンツを入力するチャネル、もう1つはファイルを盗み、その他の機密データを抽出するチャネルです。
これらのチョイスジャッキング攻撃では、悪意のある充電器がUSBホストとして動作し、標的のスマートフォンに確認プロンプトを表示します。攻撃はiOSとAndroidの脆弱性を悪用し、充電器が自律的に「入力イベント」を挿入することで、画面上のプロンプトに表示されたテキストを入力したりボタンをクリックしたりすることで、実際のユーザーによる操作を模倣します。
ChoiceJacking攻撃が完了すると、悪意のある充電器は脆弱なスマートフォンの2つのチャネルにアクセスできるようになります。1つはデバイスの所有者を装ってコンテンツを入力するチャネル、もう1つは接続されたスマートフォンからファイルを盗み出し、その他の機密データを抽出するためのチャネルです。
AppleとGoogleの両方の防御を回避できたChoiceJacking攻撃の亜種の一つでは、充電器がUSBキーボードなどの周辺機器として機能します。これにより、USB経由で入力を送信し、悪意のある充電器内に隠された2つ目の小型キーボードとのBluetooth接続を確立できます。このBluetoothキーボードを使用することで、充電器は脆弱なスマートフォンへのデータ接続を確立できます。
Apple、Google、その他のAndroidメーカーはこれらのChoiceJacking攻撃について知らされていましたが、最新のソフトウェアを実行していない古いAndroidスマートフォンや、One UI 7を実行している最高級のSamsungスマートフォンでさえ、依然として脆弱です。
これらの Samsung デバイスが ChoiceJacking 攻撃の対象となる可能性がある理由は、Android 15 を実行している電話でさえ、Google の新しい認証要件を実装していないためです。
ハッカーから携帯電話を守る方法
iPhoneやAndroidスマートフォンをChoiceJackingから守るために、まず最初にすべき最も重要なことは、公衆電話の充電器の使用を完全に避けることです。代わりに、外出時には充電器か高性能のモバイルバッテリーを必ず持参してください。そうすれば、悪質な充電器や悪質なUSBケーブルに悩まされる心配はありません。
そこから、お使いのスマートフォンが最新のソフトウェアを実行していることを確認する必要があります。iPhoneはすべて同時にアップデートされますが、Androidデバイスでは同じことが言えません。Androidスマートフォンのメーカーによっては、新しいアップデートの提供にかなり時間がかかる場合があり、全く提供しないメーカーもあります。
セキュリティを心配していて、最新のAndroidパッチや修正プログラムをすぐに適用したいなら、Google純正のPixelスマートフォンを検討してみてはいかがでしょうか。Pixelに乗り換えないとしても、次にAndroidスマートフォンを購入する際には、メーカーがどのくらいの頻度でアップデートをリリースしているかを注意深く確認することをお勧めします。
最高の Android 用ウイルス対策アプリは、マルウェアを拡散するジュースジャッキング攻撃から携帯電話を保護するのに役立ちます。一方、Intego の最高の Mac 用ウイルス対策ソフトウェアは、Apple 独自の制限を回避し、USB ケーブルで Mac に接続されているときに iPhone または iPad をウイルススキャンすることができます。
ハッカーが無防備なユーザーを騙して公共の充電器にスマートフォンを差し込ませるのは容易なので、ジュースジャッキングやチョイスジャッキング攻撃がすぐになくなるとは考えにくいでしょう。しかし、自分の充電器とケーブルを使えば、こうした攻撃の被害に遭う心配はありません。
Tom's Guideのその他の記事
- ハッカーは銀行を装い、Androidスマートフォンにクレジットカード窃盗マルウェアを感染させている
- iPhone 用のウイルス対策アプリがないのはなぜですか?
- 新たに発見されたiOSの欠陥は、たった1行のコードでiPhoneを完全に壊してしまう可能性がある
