Antibufala: l’allarme dell’FBI per le prese pubbliche di ricarica dei telefonini

Moltissime testate giornalistiche [per esempio Corriere della Sera, Open, Secolo XIX, CBS, El Pais, Fortune], compresa la RSI, hanno pubblicato la notizia dell’allarme diffuso via Twitter dall’FBI a proposito delle prese pubbliche di ricarica per telefonini e altri dispositivi elettronici: queste prese sarebbero pericolose perché potrebbero essere usate da criminali informatici per infettare i dispositivi, leggere e rubare dati e anche tracciare smartphone, tablet e computer dopo che sono stati scollegati. Sarebbero maggiormente esposti gli utenti Android, ma anche gli utenti Apple non dovrebbero sentirsi al sicuro.

La tecnica usata dai malfattori ha un nome specifico: si chiama juice jacking, che in inglese significa “presa di controllo tramite la corrente” (juice è un modo informale per indicare la corrente elettrica e jacking è un troncamento di hijacking, ossia “dirottamento, presa di controllo”).

L’idea di non poter usare queste comodissime prese di ricarica, così preziose quando si è in viaggio e il telefonino, il tablet e il computer sono a corto di energia, è preoccupante e riguarda moltissime persone, e la fonte dell’allarme, l’FBI, sembra assolutamente attendibile; è quindi comprensibile che i giornalisti l’abbiano diffuso con entusiasmo. Ma scavando un pochino viene fuori che l’allarme è basato sul nulla: o meglio, su un corto circuito. Non elettrico, ma informativo.

L’avviso dal quale è partita tutta la preoccupazione è infatti un tweet della sede distaccata dell’FBI di Denver, datato 6 aprile 2023, che dice che “attori ostili hanno trovato modi per usare le porte USB pubbliche per inserire malware e software di monitoraggio nei dispositivi” e raccomanda di portare con sé un proprio caricatore e un proprio cavetto USB e di usare le prese elettriche normali invece dei cavetti offerti.

Avoid using free charging stations in airports, hotels or shopping centers. Bad actors have figured out ways to use public USB ports to introduce malware and monitoring software onto devices. Carry your own charger and USB cord and use an electrical outlet instead. pic.twitter.com/9T62SYen9T

— FBI Denver (@FBIDenver) April 6, 2023

Questo tweet dell’FBI, però, non fornisce dettagli tecnici o fonti.

Così il giornalista informatico Dan Goodin ha contattato l’FBI, un cui portavoce gli ha spiegato che la sede di Denver ha basato il proprio allarme su informazioni provenienti dalla FCC, la Federal Communications Commission, l’autorità governativa statunitense che regola e amministra l’uso delle frequenze radio e delle telecomunicazioni. E in effetti sul sito della FCC c’è un avviso, datato 11 aprile 2023, che ripete sostanzialmente le raccomandazioni dell’FBI, anche qui senza fornire dettagli tecnici o fonti.

Ma a sua volta, spiega sempre Goodin, la FCC dice che le sue informazioni si basano su un articolo del New York Times del 2019 [probabilmente questo, paywallato], che si basava su un avviso diffuso dall’ufficio del procuratore distrettuale di Los Angeles. Ma quell’avviso è stato rimosso a dicembre 2021, dopo che era emerso che i funzionari del procuratore distrettuale non avevano alcuna prova del fenomeno. Anche la FCC non è in grado di citare un singolo caso in cui questo juice jacking su prese pubbliche sia realmente avvenuto.

In altre parole, l’allarme dell’FBI si basa su un complicato passaparola alla cui origine c’è il nulla. 

---

Possiamo quindi stare tranquilli e collegare i nostri dispositivi alle prese negli aeroporti e nei luoghi pubblici e dimenticarci di questo falso allarme? Probabilmente sì. La capacità di infettare uno smartphone semplicemente collegandolo a un cavetto di ricarica sarebbe una tecnica troppo potente e pericolosa per sprecarla su bersagli comuni in luoghi pubblici, e se esistesse da ben quattro anni, le case produttrici di dispositivi avrebbero nel frattempo rimediato, diffondendo aggiornamenti correttivi. Quindi le prese USB e i cavetti che trovate nei normali luoghi pubblici sono quasi sicuramente privi di pericoli informatici.

Detto questo, esiste un rischio teorico. Le prese di ricarica dei dispositivi includono quasi sempre dei contatti elettrici che accettano dati e comandi. Sarebbe quindi possibile mandare dei comandi a un dispositivo connesso attraverso un cavetto appositamente costruito, come per esempio l’OMG Cable di Hak5. Questi comandi permetterebbero di prendere il controllo di un dispositivo sbloccato quanto basta per infettarlo o estrarne dati. Ma cavetti speciali come questi hanno un costo piuttosto alto (oltre 100 dollari). Troppo alto per lasciarli in giro in un luogo pubblico.

Il rischio reale, insomma, è minimo, e infatti non ci sono casi documentati di questo juice jacking nonostante se ne parli a livello teorico da anni. Ma se preferite evitare anche quel minimo rischio, usate il vostro caricatore, quello che si inserisce nella presa elettrica, o una vostra batteria esterna o powerbank. E se proprio siete paranoici, esistono anche dei cavetti speciali e degli isolatori per cavetti di ricarica, i cosiddetti data blocker, che fanno passare solo la corrente elettrica ma non i dati.

Fonte aggiuntiva: Graham Cluley.