Apakah jus jacking biasa terjadi?

Tidak ada dalam data ancaman yang terdokumentasi. Nasihat FBI pada tahun 2023 menghasilkan liputan luas tetapi tidak menyebutkan insiden spesifik. Secara teknis ancamannya nyata, namun serangan yang berhasil terhadap wisatawan biasa jarang terjadi. Target bernilai tinggi yang melakukan perjalanan internasional tetap harus mengambil tindakan pencegahan.

Akankah pemblokir data USB benar-benar melindungi saya?

Ya untuk USB-A tradisional. Pin data terputus secara fisik; port dapat menyalurkan daya tetapi tidak dapat bertukar data. Untuk USB-C dengan PD, ada beberapa komunikasi tingkat PD yang tidak dapat dihilangkan sepenuhnya oleh pemblokir data sebenarnya, tetapi tidak ada serangan praktis yang diketahui melalui saluran tersebut.

Apakah pengisian daya nirkabel lebih aman daripada USB?

Ya dari sudut pandang eksfiltrasi data — Pengisian daya nirkabel Qi hanya mentransmisikan daya dan jabat tangan minimal. Kecepatan pengisian daya yang lebih lambat dan ketersediaan universal yang lebih sedikit merupakan kelemahan praktisnya.

Bisakah ponsel saya diretas hanya dengan mencolokkan kabel pengisi daya?

Dengan kabel normal dari produsen terkemuka, pada dasarnya tidak. Dengan kabel berbahaya (O.MG, setara dengan BadUSB), ya — kabel itu sendiri berisi perangkat keras penyerang. Selalu gunakan kabel yang Anda percayai, terutama di lingkungan di mana seseorang dapat menukarnya.

Haruskah saya tidak menggunakan port USB bandara?

Untuk perjalanan biasa, risikonya rendah. Untuk perjalanan profesional berisiko tinggi (sumber pertemuan eksekutif, diplomat, jurnalis), membawa pengisi daya dinding dan pemblokir data USB menghilangkan risiko kecil yang tersisa untuk beberapa dolar. Ancaman terbesar di bandara adalah pemantauan Wi-Fi, selancar bahu, dan pencurian perangkat.

Penjelasan Juice Jacking: Apakah Port Pengisian USB Publik Sebenarnya Berbahaya?

Port USB publik — di bandara, hotel, pusat konferensi — telah menjadi sasaran peringatan dari FBI dan FCC selama bertahun-tahun. Skenario serangannya nyata: port berbahaya dapat mengirimkan malware atau mengekstrak data dari ponsel Anda. Ancaman dalam praktiknya tidak sedramatis yang diberitakan di berita utama, namun pertahanannya sangat mudah sehingga perlu diketahui.

Badan artikel selengkapnya disediakan dalam bahasa Inggris di bawah ini.

Juice jacking adalah serangan di mana port (atau kabel) USB berbahaya membahayakan perangkat yang terhubung, baik dengan menyuntikkan malware atau mengekstrak data. Istilah ini diciptakan pada tahun 2011; FBI mengeluarkan peringatan publik pada tahun 2023 tentang stasiun pengisian daya di bandara dan hotel.

Cara kerja serangan

USB membawa daya dan data pada konektor yang sama. Saat Anda menyambungkan telepon ke port, kedua saluran terhubung secara fisik secara default. Ujung port yang lain dapat:

Baca data — tergantung pada pengaturan dan petunjuk ponsel, penyerang dapat mengakses foto, file, kontak
Push file — menginstal aplikasi berbahaya jika perangkat mengizinkan sideloading
Kirim perintah HID — port meniru keyboard atau mouse dan mengetikkan perintah
Mengeksploitasi kerentanan tumpukan USB — secara historis, bug tingkat kernel di iOS dan Android Penanganan USB mengaktifkan beberapa serangan melalui konektor sendiri

Sistem operasi modern meminta sebelum memberikan akses data USB. iOS dan Android keduanya secara default "mengisi daya saja" ketika komputer yang tidak dikenal terhubung; pengguna harus secara eksplisit mengetuk "Izinkan akses" atau "Percayai komputer ini". Ini adalah perlindungan utama.

Risiko dunia nyata yang sebenarnya

Meskipun ada peringatan, serangan pembajakan jus yang terdokumentasi terhadap pelancong biasa jarang terjadi:

Peringatan FBI pada tahun 2023 tidak merujuk pada insiden tertentu; itu adalah nasihat kehati-hatian.
Sebagian besar port USB publik adalah port pengisian daya sederhana tanpa jalur data yang terhubung.
Ponsel modern menggunakan mode pengisian daya secara default dan memerlukan izin pengguna untuk akses data.
Serangan ini memerlukan penggantian port fisik lengkap (seseorang mengganti port asli dengan perangkat keras berbahaya) atau kabel berbahaya (kabel rusak yang disediakan dalam pengisian daya lingkungan).

Untuk target bernilai tinggi (eksekutif, aktivis, jurnalis) yang melakukan perjalanan internasional, juice jacking adalah kekhawatiran yang masuk akal. Bagi wisatawan biasa yang berada di bandara besar AS, risikonya nyata namun kecil.

Sudut kabel yang berbahaya

Varian yang lebih memprihatinkan: Kabel O.MG dan sejenisnya — Kabel USB yang terlihat identik dengan kabel pengisi daya Apple/Android biasa namun berisi komputer kecil yang dapat memasukkan penekanan tombol, mengekstrak data melalui Wi-Fi, dan menjalankan muatan sewenang-wenang. Dijual secara terbuka sebagai alat penelitian keamanan, kabel ini tidak dapat dibedakan dari kabel asli tanpa perlu dibongkar. Jika penyerang meninggalkan kabel O.MG tergeletak di sebuah konferensi atau hotel, siapa pun yang meminjamnya akan disusupi.

Pertahanan sederhana

Pemblokir data USB ("kondom USB") — dongle kecil yang secara fisik hanya menyambungkan pin daya, memblokir data. Sekitar $10. Solusi permanen untuk sebagian besar wisatawan.
Gunakan stopkontak, bukan USB.Adaptor AC bersifat pasif; mereka tidak dapat menyerang ponsel Anda.
Bawa pengisi daya Anda sendiri. Bawalah adaptor dinding kecil dan kabel Anda sendiri. Mengisi daya dari stopkontak.
Power bank. Mengisi daya dari baterai yang Anda percayai dan bukan dari port yang tidak Anda percayai.
Mode hanya pengisian daya. Ponsel modern menggunakan default ini; verifikasi milik Anda dan jangan pernah menerima perintah "Percayai komputer ini" pada pengisi daya umum. Komplikasi

USB-C

USB-C dengan negosiasi PD (Pengiriman Daya) melibatkan sejumlah kecil komunikasi dua arah bahkan saat hanya mengisi daya. Pada prinsipnya, pengisi daya jahat dapat mengeksploitasi bug protokol PD. Dalam praktiknya, tidak ada serangan nyata melalui jalur ini yang teramati di alam liar. Permukaan protokolnya kecil dan telah teruji dengan baik.

Di luar penggunaan pribadi

Untuk organisasi:

Jangan pernah menyambungkan perangkat USB aneh ke mesin perusahaan. Serangan Stuxnet tahun 2010 terhadap fasilitas nuklir Iran menggunakan drive USB yang dijatuhkan sebagai vektor awal.
Gunakan kebijakan titik akhir untuk menonaktifkan penyimpanan massal USB pada mesin yang tidak membutuhkannya.
Untuk lingkungan dengan keamanan tinggi, celah udara penuh dengan dioda data perangkat keras untuk transfer data satu arah.

Serangan USB terhadap organisasi lebih sering didokumentasikan daripada terhadap individu, justru karena nilai targetnya lebih tinggi.

Peringatan FBI yang berlebihan

Tweet FBI tahun 2023 yang menjadi viral tidak menambah intelijen ancaman baru; itu hanya menyatakan kembali nasihat lama. Beberapa peneliti keamanan menunjukkan bahwa tidak ada serangan signifikan yang tercatat. Peringatan tersebut masuk akal sebagai kebersihan umum; memperlakukannya sebagai ancaman terus-menerus adalah koreksi yang berlebihan.

Bagi sebagian besar wisatawan, risiko realistis di bandara adalah pencurian, observasi, dan serangan Wi-Fi — bukan pencurian data. Menghabiskan energi untuk mengatasi ancaman yang terlihat dengan mengorbankan pertahanan yang lebih penting adalah pola yang umum.

Pertanyaan yang sering diajukan

Apakah jus jacking biasa terjadi?: Tidak ada dalam data ancaman yang terdokumentasi. Nasihat FBI pada tahun 2023 menghasilkan liputan luas tetapi tidak menyebutkan insiden spesifik. Secara teknis ancamannya nyata, namun serangan yang berhasil terhadap wisatawan biasa jarang terjadi. Target bernilai tinggi yang melakukan perjalanan internasional tetap harus mengambil tindakan pencegahan.
Akankah pemblokir data USB benar-benar melindungi saya?: Ya untuk USB-A tradisional. Pin data terputus secara fisik; port dapat menyalurkan daya tetapi tidak dapat bertukar data. Untuk USB-C dengan PD, ada beberapa komunikasi tingkat PD yang tidak dapat dihilangkan sepenuhnya oleh pemblokir data sebenarnya, tetapi tidak ada serangan praktis yang diketahui melalui saluran tersebut.
Apakah pengisian daya nirkabel lebih aman daripada USB?: Ya dari sudut pandang eksfiltrasi data — Pengisian daya nirkabel Qi hanya mentransmisikan daya dan jabat tangan minimal. Kecepatan pengisian daya yang lebih lambat dan ketersediaan universal yang lebih sedikit merupakan kelemahan praktisnya.
Bisakah ponsel saya diretas hanya dengan mencolokkan kabel pengisi daya?: Dengan kabel normal dari produsen terkemuka, pada dasarnya tidak. Dengan kabel berbahaya (O.MG, setara dengan BadUSB), ya — kabel itu sendiri berisi perangkat keras penyerang. Selalu gunakan kabel yang Anda percayai, terutama di lingkungan di mana seseorang dapat menukarnya.
Haruskah saya tidak menggunakan port USB bandara?: Untuk perjalanan biasa, risikonya rendah. Untuk perjalanan profesional berisiko tinggi (sumber pertemuan eksekutif, diplomat, jurnalis), membawa pengisi daya dinding dan pemblokir data USB menghilangkan risiko kecil yang tersisa untuk beberapa dolar. Ancaman terbesar di bandara adalah pemantauan Wi-Fi, selancar bahu, dan pencurian perangkat.