/https://www.html.it/app/uploads/2025/04/wp_drafter_549008.jpg "Attacco ChoiceJacking: attenzione alle vulnerabilità USB su dispositivi iOS e Android")
Undici dispositivi testati, dieci vulnerabili, quattro CVE assegnati e zero protezioni efficaci. Questi numeri preoccupanti emergono dallo studio condotto dall'Università di Graz sulla nuova minaccia digitale denominata ChoiceJacking, un'evoluzione del più noto juice jacking. Questo attacco consente a caricatori USB malevoli di accedere ai dati degli smartphone senza il consenso dell'utente, aggirando le protezioni implementate sia su dispositivi iOS che Android.
La ricerca ha evidenziato come questa sofisticata tecnica riesca a superare le barriere di sicurezza adottate negli ultimi anni da Apple e Google. Attraverso l'invio di input simulati, un caricatore USB modificato può "ingannare" il dispositivo, facendogli credere che l'utente abbia autorizzato l'accesso ai dati sensibili. Questa scoperta pone un nuovo allarme nel panorama della USB sicurezza.
Meccanismo dell'attacco
Il funzionamento di ChoiceJacking si basa su strategie innovative che sfruttano le debolezze nei sistemi di protezione dei dispositivi mobili. I ricercatori hanno identificato diverse tecniche che rendono l'attacco particolarmente efficace:
- simulazione di input utente tramite tastiere USB virtuali
- Attivazione non autorizzata di connessioni Bluetooth
- Sfruttamento di vulnerabilità nel protocollo Android Open Accessory
- Manipolazione delle richieste di autorizzazione
La pericolosità dell'attacco aumenta significativamente nei dispositivi con USB Debugging attivato. In questi casi, l'attacco può garantire un accesso completo al sistema operativo, consentendo l'installazione di malware e il controllo totale del dispositivo. Questo scenario rappresenta una delle principali vulnerabilità Android emerse dallo studio.
La risposta dei produttori
A seguito delle segnalazioni, i principali produttori hanno adottato contromisure per arginare la minaccia. Apple ha introdotto aggiornamenti nei sistemi di autenticazione con iOS 18.4, mentre Google ha implementato protezioni simili in Android 15. Tuttavia, la frammentazione dell'ecosistema Android rappresenta un ostacolo significativo. Molti dispositivi, in particolare Samsung, restano vulnerabili nonostante l'aggiornamento al sistema operativo più recente.
Le vulnerabilità sono state catalogate con identificativi unici per facilitarne il monitoraggio e la risoluzione:
- CVE-2025-24193 (Apple)
- CVE-2024-43085 (Google)
- CVE-2024-20900 (Samsung)
- CVE-2024-54096 (Huawei)
Un dato interessante è emerso per il sistema operativo Vivo Funtouch OS, risultato immune all'attacco. Tuttavia, questa resistenza non è dovuta a un design di sicurezza avanzato, bensì a limitazioni nel supporto del protocollo USB PD. Questo suggerisce che, in alcuni casi, meno funzionalità possono tradursi in maggiore sicurezza.
Precauzioni per gli utenti
Sebbene non siano stati documentati attacchi reali fino ad oggi, gli esperti raccomandano agli utenti di adottare misure preventive. Le stazioni di ricarica pubbliche rappresentano un potenziale vettore di attacco, motivo per cui è consigliabile utilizzare power bank personali o cavi di ricarica con blocco dati integrato. Questo tipo di accorgimenti può contribuire a mitigare il rischio di esposizione a vulnerabilità iOS e Android.
La scoperta di ChoiceJacking riaccende il dibattito sulla sicurezza delle interfacce USB. L'equilibrio tra usabilità e protezione rimane una sfida complessa per l'industria tecnologica. La ricerca sottolinea come sia fondamentale continuare a investire in soluzioni innovative per garantire la sicurezza degli utenti in un contesto digitale sempre più complesso e interconnesso.
/https://www.html.it/app/uploads/2025/05/surfshark-vpn-2-480x300.webp)
/https://www.html.it/app/uploads/2025/05/surfshark-alternative-id-offerta-480x300.webp)
/https://www.html.it/app/uploads/2025/01/telegram-canali.jpg)
/https://www.html.it/app/uploads/2025/05/PIA-480x300.webp)