روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛   آیا ممکن است هنگام شارژ کردن گوشی هوشمند از طریق یک پورت عمومی — مثلاً در وسایل حمل‌ونقل عمومی، درمانگاه‌ها یا فرودگاه‌ها — عکس‌ها یا سایر داده‌های شما دانلود یا حتی حذف شوند؟ با وجود تدابیر امنیتی سازندگان، بله، گاهی این اتفاق ممکن است بیافتد. بگذارید ابتدا بررسی کنیم ببینیم این حمله چیست:

حمله‌ای به نام «Juice-Jacking»

اولین بار در سال ۲۰۱۱، هکرها نوعی حمله به نام «juice-jacking» را معرفی کردند. اگر یک پورت شارژ USB ظاهراً بی‌خطر، در واقع یک رایانه پنهان‌شده باشد، می‌تواند گوشی شما را از حالت شارژ ساده به حالت انتقال داده MTP یا PTP  تغییر دهد و اطلاعات شخصی‌تان را استخراج کند. برای مقابله با این تهدید، گوگل و اپل قابلیتی را معرفی کردند که هنگام اتصال گوشی به دستگاهی که امکان انتقال داده دارد، از کاربر می‌پرسد: «آیا فقط می‌خواهید شارژ کنید یا اجازه انتقال داده را هم می‌دهید؟» برای سال‌ها، همین سؤال ساده جلوی این نوع حملات را می‌گرفت... تا این‌که در سال ۲۰۲۵، پژوهشگرانی از دانشگاه فنی گراتس در اتریش راهی برای دور زدن این محافظت پیدا کردند.

حمله جدید  ChoiceJacking

در این حمله‌های جدید — که به نام ChoiceJacking شناخته می‌شوند — دستگاه آلوده‌شده‌ای که شبیه یک ایستگاه شارژ معمولی است، به‌طور خودکار و بدون اطلاع شما، گزینه‌ی انتقال داده را تأیید می‌کند.

سه روش اصلی برای اجرای این حمله وجود دارد:

۱. حمله ترکیبی آی‌اواس و اندروید

پیچیده‌ترین روش است، اما روی هر دو سیستم‌عامل کار می‌کند. میکروکامپیوتری پنهان‌شده در ایستگاه شارژ ابتدا نقش کیبورد USBرا بازی و فرمان‌هایی برای فعال کردن بلوتوث و اتصال به یک کیبورد بلوتوثی جعلی (همان کامپیوتر مخرب) ارسال می‌کند. سپس سیستم دوباره از طریق USB متصل می‌شود — این بار به‌عنوان یک رایانه. وقتی گوشی می‌پرسد: «اجازه انتقال داده داده شود؟». دستگاه مخرب با یک "فشار کلید مجازی" از طریق بلوتوث، خودش پاسخ مثبت می‌دهد.

۲. حمله کیبورد به Android

در این روش که فقط روی اندروید جواب می‌دهد، نیازی به بلوتوث نیست.
شارژر جعلی خودش را به‌عنوان یک کیبورد USBمعرفی می‌کند و حجم عظیمی از فشار کلیدهای بی‌معنی را به گوشی ارسال می‌کند تا ورودی گوشی را مشغول کند. در همین حین، دستگاه مجدداً متصل می‌شود — این بار در نقش یک رایانه. هنگامی که پنجره انتخاب حالت ظاهر می‌شود، ادامه همان کلیدهای ارسال‌شده، به‌طور خودکار گزینه انتقال داده را انتخاب می‌کنند.

۳. سواستفاده از AOAP(فقط اندروید)

این روش از پیاده‌سازی نادرست «پروتکل دسترسی باز اندروید» (AOAP) در اکثر گوشی‌های اندرویدی استفاده می‌کند.
دستگاه مخرب فوراً خودش را به‌عنوان یک رایانه معرفی و هنگامی که صفحه تایید ظاهر می‌شود، کلیدهای لازم برای تایید اتصال را از طریق AOAP ارسال می‌کند — هرچند طبق استاندارد، استفاده همزمان از AOAP و حالت رایانه نباید ممکن باشد، اما اکثر گوشی‌ها این محدودیت را رعایت نمی‌کنند.

کدام دستگاه‌ها در برابر حملات USB ChoiceJacking ایمن هستند؟

شرکت‌های اپل و گوگل در نسخه‌های iOS/iPadOS 18.4و Android 15، روش‌های این نوع حمله را مسدود کرده‌اند. از این پس، تنها فشردن دکمه‌ی «تأیید» برای فعال‌سازی انتقال داده کافی نیست — بلکه باید احراز هویت بیومتریک انجام دهید یا رمز عبور وارد کنید. با این حال، در سیستم‌عامل اندروید، صرف داشتن نسخه ۱۵ به‌تنهایی تضمین‌کننده امنیت نیست. به عنوان مثال، دستگاه‌های سامسونگ با رابط کاربری One UI 7حتی پس از به‌روزرسانی به اندروید ۱۵ نیز هیچ‌گونه احراز هویتی درخواست نمی‌کنند. از این‌رو، توصیه می‌شود کاربرانی که گوشی اندرویدی خود را به نسخه ۱۵ ارتقا داده‌اند، آن را از طریق کابل به یک رایانه امن وصل کرده و بررسی کنند که آیا برای انتقال داده، نیاز به رمز یا اثر انگشت وجود دارد یا نه. اگر هیچ‌گونه تأییدی درخواست نشد، از شارژ در ایستگاه‌های عمومی اجتناب کنید.

چقدر جدی است؟ و چگونه می‌توان از خود محافظت کرد؟

با وجود اینکه گاه‌وبی‌گاه سازمان‌های انتظامی درباره خطر حملات از طریق USB هشدار داده‌اند، هیچ حمله واقعی ثبت‌شده‌ای به‌طور عمومی منتشر نشده است. این به معنای نبود چنین حملاتی نیست — اما دست‌کم نشان می‌دهد که چنین تهدیدی گسترده نیست.

چنانچه نگران امنیت دستگاهتان هستید، توصیه می‌شود:

•          تنها از شارژر شخصی یا پاوربانک مطمئن خودتان استفاده کنید.
•          یا از آداپتورهای مسدودکننده داده   بهره ببرید — وسیله‌ای که تنها برق را از کابل عبور می‌دهد و انتقال داده را مسدود می‌کند. این آداپتورها که به نام "کاندوم USB"نیز شناخته می‌شوند، بسیار مؤثرند؛ اما ممکن است سرعت شارژ را در گوشی‌های جدید کاهش دهند، چرا که مانع از عملکرد حالت Quick Charge می‌شوند.

همچنین می‌توانید از کابل‌های مخصوص شارژ استفاده کنید که امکان انتقال داده ندارند. البته پیش از استفاده، حتماً کابل را به یک رایانه امن وصل کرده و بررسی کنید که هیچ پیغام انتقال داده روی صفحه ظاهر نشود.
در این صورت باید همیشه این کابل را همراه خود داشته باشید — و در نظر داشته باشید که Quick Charge نیز غیرفعال خواهد شد.

مهم‌ترین نکته: همیشه سیستم‌عامل خود را به‌روز نگه دارید

اگر در شرایطی قرار گرفتید که:

•          گوشی‌تان به‌روزرسانی نشده،
•          دسترسی به کابل یا آداپتور مطمئن ندارید،
•          و نیاز فوری به شارژ دارید...

هوشیار باشید.هنگام اتصال گوشی به پورت USB، به صفحه‌نمایش دقت کنید:
اگر به‌جای شارژ مستقیم، پیغامی برای انتخاب نوع اتصال ظاهر شد، حتماً گزینه‌ی «فقط شارژ»را انتخاب کنید.
و اگر هنوز احساس خطر کردید، بهتر است گوشی را جدا کرده و دنبال پریز برق ساده‌تری بگردید.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.