Smartphone, Gadget, Keamanan Digital,
Serangan ChoiceJacking, Curi Data saat Mengisi Daya Ponsel
Ilmuwan Temukan Serangan Baru ChoiceJacking, Curi Data saat Mengisi Daya Ponsel
Selular.ID – Para ilmuan dari Technische Universität Graz atau Universitas Teknik Graz Jerman, menemukan cara baru serangan siber dengan teknik pengisian daya ponsel tercanggih, yakni ‘ChoiceJacking’. Meski belum ada kasus dari cara pencurian data ‘ChoiceJacking’, namun para ilmuwan telah menemukan celah yang rapuh pada sistem pengisian daya yang dilakukan di tempat umum.
Serangan ChoiceJacking memanfaatkan standar USB dan Bluetooth, pada kabel USB yang berada di pengisian daya umum. Caranya, sistem serangan mampu meniru input pengguna seperti ketukan tombol atau persetujuan, secara otomatis. Serangan ini memang mirip dengan JuiceJacking, namun lebih canggih karena tanpa sentuhan apapun.
Jika ChoiceJacking dibiarkan, foto, dokumen, hingga data aplikasi pada perangkat ponsel bisa diakses tanpa diketahui pengguna. Dulunya, saat serangan juicejacking merebak, produsen ponsel berbasis iOS dan Android sudah melakukan perlindungan dari JuiceJacking.
Serangan baik Juicejacking atau Choicejacking terjadi di pengisian umum seperti terminal, stasiun, bandara, pelabuhan, hingga di kawasan fasilitas umum lainnya, termasuk restoran dan tempat peristirahatan sementara.
Mengutip WinFuture, serangan ChoiceJacking diawali saat charger yang telah dimodifikasi mengidentifikasikan dirinya sebagai keyboard USB, sesaat usai tersambung. Charger ini kemudian mengirimkan perintah untuk mengaktifkan Bluetooth di ponsel dengan kondisi tidak terkunci, lalu mengubahnya ke mode pencarian perangkat.
Baca juga: Anti Lemot, 20 HP Chipset Snapdragon yang Harganya Murah
Di dalam charger, tersembunyi sebuah keyboard Bluetooth mini yang langsung terkoneksi dengan ponsel tersebut. Keyboard ini kemudian mengirimkan input untuk menyetujui permintaan transfer data secara otomatis.
Kunci dari keberhasilan serangan ini adalah layar ponsel harus dalam keadaan aktif dan tidak terkunci saat pengisian daya dilakukan.
Dalam pemberitaan di Ars Technica, selanjutnya charger memanfaatkan standar USB Power Delivery. Melalui fitur PD Data Role Swap, charger bisa berganti peran. Peran yang semula merupakan perangkat periferal, kemudian berubah menjadi host.
Dari posisi ini, charger membuka koneksi transfer file, sementara keyboard Bluetooth yang sudah terhubung sebelumnya memberikan persetujuan secara otomatis. Pergantian peran ini, ditambah dengan penggunaan simultan jalur komunikasi USB dan Bluetooth, memungkinkan sistem keamanan iOS dan Android dilangkahi sepenuhnya. Menariknya, transfer data ini bisa dilakukan tanpa perlu interaksi fisik kepada perangkat.
Baca juga: 5 TWS Anti Air, Cocok Bagi Kalian yang Sering Bepergian
Selain ChoiceJacking yang kompleks ini, para peneliti juga mengungkap ada dua metode serangan lain yang hanya berdampak pada Android. Pertama, mengeksploitasi celah di protokol Android Open Accessory. Kedua, menargetkan sistem Input Dispatcher melalui teknik Event-Queue Flooding. Kedua metode ini memungkinkan akses ke data sensitif dengan cara yang serupa.
Antisipasi Apple
Produk Apple berbasis iOS telah mengatasi kerentanan serangan ChoiceJacking. Gawai berbasis iOS atau iPadOS 18.4 kini mewajibkan PIN atau password setiap kali ada permintaan akses data.
Google pun mengambil langkah serupa di Android 15. Namun, banyak produsen Android, termasuk Samsung, belum sepenuhnya menerapkan perlindungan seperti Apple.
Penulis utama penelitian serangan ChoiceJacking, Florian Draschbacher menyarankan, agar tidak terkena serangan ChoiceJacking, sebaiknya hindari pengisian daya di pengisian umum yang sudah menyediakan kabel USB.
Ikuti informasi menarik lainnya dari Selular.id di Google News
Selular.ID – Para ilmuan dari Technische Universität Graz atau Universitas Teknik Graz Jerman, menemukan cara baru serangan siber dengan teknik pengisian daya ponsel tercanggih, yakni ‘ChoiceJacking’. Meski belum ada kasus dari cara pencurian data ‘ChoiceJacking’, namun para ilmuwan telah menemukan celah yang rapuh pada sistem pengisian daya yang dilakukan di tempat umum.
Serangan ChoiceJacking memanfaatkan standar USB dan Bluetooth, pada kabel USB yang berada di pengisian daya umum. Caranya, sistem serangan mampu meniru input pengguna seperti ketukan tombol atau persetujuan, secara otomatis. Serangan ini memang mirip dengan JuiceJacking, namun lebih canggih karena tanpa sentuhan apapun.
Jika ChoiceJacking dibiarkan, foto, dokumen, hingga data aplikasi pada perangkat ponsel bisa diakses tanpa diketahui pengguna. Dulunya, saat serangan juicejacking merebak, produsen ponsel berbasis iOS dan Android sudah melakukan perlindungan dari JuiceJacking.
Serangan baik Juicejacking atau Choicejacking terjadi di pengisian umum seperti terminal, stasiun, bandara, pelabuhan, hingga di kawasan fasilitas umum lainnya, termasuk restoran dan tempat peristirahatan sementara.
Mengutip WinFuture, serangan ChoiceJacking diawali saat charger yang telah dimodifikasi mengidentifikasikan dirinya sebagai keyboard USB, sesaat usai tersambung. Charger ini kemudian mengirimkan perintah untuk mengaktifkan Bluetooth di ponsel dengan kondisi tidak terkunci, lalu mengubahnya ke mode pencarian perangkat.
Baca juga: Anti Lemot, 20 HP Chipset Snapdragon yang Harganya Murah
Di dalam charger, tersembunyi sebuah keyboard Bluetooth mini yang langsung terkoneksi dengan ponsel tersebut. Keyboard ini kemudian mengirimkan input untuk menyetujui permintaan transfer data secara otomatis.
Kunci dari keberhasilan serangan ini adalah layar ponsel harus dalam keadaan aktif dan tidak terkunci saat pengisian daya dilakukan.
Dalam pemberitaan di Ars Technica, selanjutnya charger memanfaatkan standar USB Power Delivery. Melalui fitur PD Data Role Swap, charger bisa berganti peran. Peran yang semula merupakan perangkat periferal, kemudian berubah menjadi host.
Dari posisi ini, charger membuka koneksi transfer file, sementara keyboard Bluetooth yang sudah terhubung sebelumnya memberikan persetujuan secara otomatis. Pergantian peran ini, ditambah dengan penggunaan simultan jalur komunikasi USB dan Bluetooth, memungkinkan sistem keamanan iOS dan Android dilangkahi sepenuhnya. Menariknya, transfer data ini bisa dilakukan tanpa perlu interaksi fisik kepada perangkat.
Baca juga: 5 TWS Anti Air, Cocok Bagi Kalian yang Sering Bepergian
Selain ChoiceJacking yang kompleks ini, para peneliti juga mengungkap ada dua metode serangan lain yang hanya berdampak pada Android. Pertama, mengeksploitasi celah di protokol Android Open Accessory. Kedua, menargetkan sistem Input Dispatcher melalui teknik Event-Queue Flooding. Kedua metode ini memungkinkan akses ke data sensitif dengan cara yang serupa.
Antisipasi Apple
Produk Apple berbasis iOS telah mengatasi kerentanan serangan ChoiceJacking. Gawai berbasis iOS atau iPadOS 18.4 kini mewajibkan PIN atau password setiap kali ada permintaan akses data.
Google pun mengambil langkah serupa di Android 15. Namun, banyak produsen Android, termasuk Samsung, belum sepenuhnya menerapkan perlindungan seperti Apple.
Penulis utama penelitian serangan ChoiceJacking, Florian Draschbacher menyarankan, agar tidak terkena serangan ChoiceJacking, sebaiknya hindari pengisian daya di pengisian umum yang sudah menyediakan kabel USB.
Ikuti informasi menarik lainnya dari Selular.id di Google News
Tidak ada komentar:
Posting Komentar