Todos nós já passamos por isso: ficar preso em uma cafeteria com a bateria do telefone acabando e sem adaptador à mão, apenas para avistar uma estação de carregamento USB gratuita por perto. Aliviado, você conecta seu dispositivo e segue com seus negócios, sem saber de uma ameaça potencial espreitando dentro daquela porta USB de aparência inocente. Esse risco é o “juice jacking”, uma ameaça à segurança cibernética que ganhou atenção suficiente nos últimos anos para justificar um aviso de advertência do FBI.
Então, o que exatamente é juice jacking e qual é o risco real disso? Aqui está tudo o que você precisa saber, além de algumas dicas sobre como manter seus dispositivos seguros enquanto carregam em movimento.
O que é juice jacking?
Hadlee Simons / Autoridade Android
Juice jacking é um tipo de ataque que explora dispositivos portáteis, como smartphones, quando você os conecta a uma porta USB comprometida. Em vez de simplesmente fornecer energia para carregar, essas portas também estabelecem uma conexão de dados com um computador ou dispositivo de armazenamento nos bastidores. Isso, por sua vez, permite que os invasores copiem dados do seu dispositivo, infectem-no com malware ou mantenham seus arquivos como reféns em troca de um resgate.
O juice jacking se tornou um risco cada vez mais tangível na última década, à medida que mais e mais dispositivos passaram a usar USB. Além disso, nos acostumamos a armazenar muitos dados confidenciais em nossos smartphones — tudo, desde fotos pessoais a e-mails e registros financeiros.
Simplificando, a versatilidade do USB permite ataques de juice jacking.
Como muitas vezes não conseguimos espiar atrás da maioria dos carregadores públicos, é impossível saber se há um computador malicioso do outro lado da parede esperando para estabelecer uma conexão. Ao implantar até mesmo uma única porta USB comprometida, um invasor pode desviar dados de milhares de dispositivos ao longo do tempo. Felizmente, ataques de juice jacking são difíceis de executar em escala e não são conhecidos por serem generalizados.
Ainda assim, saber sobre a ameaça de juice jacking é importante, especialmente porque ela não termina em um simples roubo de dados. Um invasor pode usar esse vetor de ataque para instalar malware no seu dispositivo que permanece inativo por um tempo. Então, ele pode ser executado em segundo plano quando você menos espera.
Por exemplo, o malware em questão pode ser um aplicativo que registra sua entrada de teclado ou acessa a câmera e o microfone do seu dispositivo em segundo plano. Essas tarefas podem parecer absurdas para um aplicativo malicioso, especialmente porque o Android e o iOS se tornaram bastante seguros nos últimos anos. No entanto, nem mesmo a Apple conseguiu impedir que ferramentas de spyware altamente avançadas como o Pegasus proliferassem e infectassem dispositivos.
O termo juice jacking foi cunhado pela primeira vez em 2011, quando o pesquisador de segurança Brian Markus implantou um quiosque de carregamento gratuito em uma conferência de hackers para informar os participantes sobre os perigos potenciais de conectar dispositivos em portas USB não confiáveis.
Como funciona o juice jacking?
Como aludi na seção anterior, o juice jacking tira proveito do fato de que a maioria dos nossos dispositivos eletrônicos depende do USB para carregar atualmente. Isso é problemático porque o USB é popularmente usado para tudo, desde saída de vídeo até transferência de arquivos. A interface também pode ser usada para controlar programaticamente seu smartphone via Android Debug Bridge (ADB).
A ideia é que, quando você conecta seu smartphone a uma porta USB comprometida, a estação de carregamento também pode estabelecer simultaneamente uma conexão de dados com seu dispositivo. Então, apesar de sua conveniência, a versatilidade dos padrões USB modernos também o torna igualmente útil para invasores.
Tome o cabo O.MG Elite como exemplo — um “cabo USB feito à mão com um implante avançado escondido dentro”. O cabo parece normal na superfície, mas na verdade tem um servidor Wi-Fi completo integrado. Isso permite que ele baixe código malicioso, execute-o em um dispositivo conectado e exfiltre quaisquer dados de volta para o invasor. E quando isso é feito, ele pode se autodestruir para eliminar quaisquer vestígios da carga maliciosa. Por US$ 179,99, o cabo O.MG não é barato, mas demonstra o potencial assustador de um ataque juice jacking.
Como proteger seus dispositivos contra juice jacking
Mishaal Rahman / Autoridade Android
Independentemente de você usar Android ou iOS, seu telefone usa criptografia completa do dispositivo em conjunto com um enclave seguro no SoC. Isso torna quase impossível que malware comum infecte seu dispositivo, desde que você não o desbloqueie. No entanto, o risco real surge quando você insere seu PIN ou biometria — se seu dispositivo tiver vulnerabilidades de segurança, conectá-lo a uma porta USB comprometida pode potencialmente infectá-lo. Claro, vale a pena repetir que as chances de isso acontecer são bem pequenas.
Para proteger seu dispositivo contra ataques de juice jacking, siga o máximo possível destas práticas:
- Instale os patches de segurança mais recentes: É tentador pular a versão do Android e as atualizações de segurança se você estiver com poucos dados, tempo ou armazenamento em um dispositivo mais antigo. No entanto, esses patches são importantes se você se importa com a segurança, pois eles podem fechar brechas que podem ser usadas para atacar seu dispositivo. Da mesma forma, você pode querer migrar de dispositivos que se tornam antigos o suficiente para não receber mais atualizações de segurança de rotina.
- Use um cabo USB confiável: Embora menos provável do que um computador comprometido na outra ponta, os cabos USB por si só podem ser o suficiente para causar danos ao seu dispositivo. Um pesquisador de segurança incorporou um microcontrolador dentro de um cabo para provar exatamente isso — ele poderia emular comandos de teclado e retransmitir scripts maliciosos para dispositivos conectados.
- Dê preferência a tomadas elétricas em vez de portas USB: A maneira mais fácil de evitar ser vítima de juice jacking é nunca conectar seu dispositivo a uma porta USB desconhecida. Desde que você carregue seu próprio adaptador confiável (e cabo), um ponto de tomada elétrica é tudo o que você precisa e não traz risco algum.
- Modo de bloqueio do Android: A atualização do Android 15 adiciona uma nova medida de proteção que bloqueia completamente a sinalização de dados USB quando você entra no modo de bloqueio. Para aproveitar isso, você terá que entrar manualmente no modo de bloqueio por meio do menu de energia do seu dispositivo.
- Use um cabo de privacidade: As portas USB contêm vários pinos e apenas alguns deles são usados para sinalização de dados. Então, se nos importamos apenas com o carregamento, podemos usar um cabo “somente carregamento” que não tenha nenhum condutor conectado aos pinos de dados da porta USB. A startup de hardware OSOM vende um desses cabos de privacidade, mas você também encontrará dispositivos semelhantes comercializados como bloqueadores de dados USB ou preservativos.
Embora o risco de seu dispositivo ser vítima de um ataque juice jacking seja relativamente baixo, proteger-se é relativamente fácil. Na verdade, simplesmente manter o software do seu dispositivo atualizado é a melhor ação.