ศูนย์เฝ้าระวังเตือน Choicejacking ชาร์จมือถือผ่าน USB สาธารณะอาจถูกแฮก

หลายคนอาจเคยชาร์จแบตมือถือในที่สาธารณะไม่ว่าจะเป็นที่สนามบิน ร้านกาแฟ หรือตามห้างสรรพสินค้า โดยไม่เคยเอะใจเลยว่าการเสียบสายชาร์จเข้าไปใน “พอร์ต USB” ที่ดูปลอดภัยนั้น อาจเปิดช่องให้ข้อมูลส่วนตัวในเครื่องถูกดูดไปแบบเงียบๆ โดยไม่รู้ตัว

 

“ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล” (PDPC Eagle Eye) ได้ออกมาแจ้งเตือนเกี่ยวกับภัยไซเบอร์รูปแบบใหม่ ภายใต้ชื่อ “Choicejacking” ซึ่งเป็นการโจมตีทางไซเบอร์ที่อันตรายมาก และสามารถขโมยข้อมูลในสมาร์ทโฟนของคุณได้แม้ไม่ได้กดอนุญาตอะไรเลยก็ตาม

 

Choicejacking คืออะไร

 

“Choicejacking” เป็นการโจมตีทางไซเบอร์ที่พัฒนามาจากการโจมตีแบบ "Juice Jacking" ในอดีต แต่มีความซับซ้อนและอันตรายกว่ามาก โดยอาศัยช่องโหว่จากความไว้วางใจที่ระบบปฏิบัติการของสมาร์ทโฟน (ทั้ง iOS และ Android) มีต่ออุปกรณ์เสริมที่เชื่อมต่อผ่าน “พอร์ต USB”

 

กลไกการทำงานของ Choicejacking

 

การหลอกให้สมาร์ทโฟนเข้าใจผิดและทำการอนุมัติการเชื่อมต่อข้อมูลโดยที่ผู้ใช้ไม่รู้ตัว ซึ่งสามารถทำได้หลายวิธี ดังนี้

 

ปลอมตัวเป็นอุปกรณ์ที่น่าเชื่อถือ : อุปกรณ์ชาร์จของแฮกเกอร์จะปลอมตัวเป็นอุปกรณ์ที่สมาร์ทโฟนให้สิทธิ์การเข้าถึงโดยง่าย เช่น คีย์บอร์ด หรือเมาส์บลูทูธ เมื่อเราเสียบสายชาร์จเข้าไป สมาร์ทโฟนจะเข้าใจผิดและอนุญาตให้เชื่อมต่อข้อมูล

 

สร้างคำสั่งลวงเพื่ออนุมัติการเชื่อมต่อ : เมื่อมีการเสียบสายชาร์จ ปกติสมาร์ทโฟนจะขึ้นหน้าต่างถามว่า "ชาร์จเท่านั้น" หรือ "ถ่ายโอนไฟล์" แต่ในกรณีนี้อุปกรณ์ของแฮกเกอร์จะส่งคำสั่งลับในรูปแบบของ keystroke หรือการกดปุ่ม โดยเลือก “ถ่ายโอนไฟล์” ให้เองโดยอัตโนมัติ

 

โจมตีด้วยความเร็วสูง : กระบวนการทั้งหมดใช้เวลาน้อยกว่า 133 มิลลิวินาที เร็วกว่าที่มนุษย์จะสังเกตเห็นหรือตอบสนองได้ทัน

 

ใช้ช่องโหว่ AOAP ของ Android : แฮกเกอร์สามารถใช้ช่องโหว่ของ Android Open Accessory Protocol (AOAP) เพื่อส่งคำสั่งควบคุมอุปกรณ์ Android ได้แม้อยู่ในโหมดชาร์จ

 

ข้อมูลที่เสี่ยงถูกขโมย : แฮกเกอร์สามารถเข้าถึง รูปภาพ วิดีโอ รายชื่อผู้ติดต่อ ข้อความส่วนตัว และแม้กระทั่งติดตั้งมัลแวร์เพื่อควบคุมเครื่องจากระยะไกล โดยที่ผู้ใช้ไม่รู้ตัวเลยว่าทุกอย่างถูกดึงออกไปแล้ว

 

วิธีป้องกันตัวจาก Choicejacking

 

เพื่อความปลอดภัยจากภัยไซเบอร์ที่มองไม่เห็นนี้ ศูนย์เฝ้าระวังฯ แนะนำวิธีป้องกัน ดังต่อไปนี้

 

หลีกเลี่ยงพอร์ต USB สาธารณะ - ใช้หัวชาร์จและสายชาร์จของตัวเองเสียบกับปลั๊กไฟโดยตรง

พกพา Power Bank ส่วนตัว -  ปลอดภัยกว่าการพึ่งพาแหล่งชาร์จภายนอก

ใช้ USB Data Blocker -  อุปกรณ์เสริมขนาดเล็กที่ช่วยตัดสัญญาณการถ่ายโอนข้อมูลระหว่างการชาร์จ

เปิดใช้งาน Lockdown Mode – สมาร์ทโฟนรุ่นใหม่ มีฟีเจอร์ที่จำกัดการเข้าถึง USB เมื่ออยู่ในโหมดล็อกดาวน์

สังเกตหน้าจอขณะชาร์จ - หากเห็นข้อความหรือหน้าต่างแปลกๆ ให้รีบดึงสายชาร์จออกทันที

อัปเดตระบบเป็นเวอร์ชันล่าสุดเสมอ - เพื่อรับการแก้ไขช่องโหว่ด้านความปลอดภัยจากผู้ผลิต

 

ที่มา : ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล (PDPC Eagle Eye)