果汁劫持

Juice jacking 是一種惡意 USB 連接埠（或電纜）透過注入惡意軟體或提取資料來危害連接裝置的攻擊。該術語於 2011 年創造； FBI 於 2023 年發布了有關機場和酒店充電站的公開警告。

攻擊如何進行

USB 在同一連接器上同時傳輸電力和資料。當您將電話插入連接埠時，預設情況下兩條線路都會實際連接。連接埠的另一端可以：

• 讀取資料 - 根據手機的設定和提示，攻擊者可以存取照片、檔案、聯絡人
• P推送檔案 - 如果裝置允許側面加載，則安裝惡意應用程式連接埠模擬鍵盤或滑鼠並輸入指令
• 利用 USB 堆疊漏洞 — 從歷史上看，iOS 和 Android USB 處理中的核心級錯誤僅透過連接器啟用了一些攻擊

現代作業系統在授予提示作業系統資料。當未知電腦連線時，iOS 和 Android 都預設為「僅充電」；使用者必須明確點擊「允許存取」或「信任這台電腦」。這是主要的保護。

實際的現實世界風險

儘管有警告，但針對普通旅行者的果汁劫持攻擊的記錄很少見：

• 聯邦調查局2023年的警告沒有提及具體事件；
• 聯邦調查局2023年的警告沒有提及具體事件；
• 大多數公共充電埠都是簡單的連接埠B。
• 現代手機預設為僅充電模式，需要使用者同意才能存取資料。
• 攻擊需要完全實體連接埠更換（有人用惡意硬體替換真實連接埠）或惡意電纜（充電中提供的被篡改的電纜）

對於出國旅行的高價值目標（高階主管、活動家、記者）來說，果汁劫持是一個合理的擔憂。對於美國主要機場的普通旅客來說，風險確實存在，但很小。

惡意電纜角度

更令人擔憂的變體：O.MG電纜和類似的USB電纜，看起來與普通Apple/Android充電電纜相同，但包含一個小型計算機，可以注入擊鍵，通過Wi-Fi竊取數據並運行任意有效負載。它們作為安全研究工具公開出售，無需拆卸，與真正的電纜沒有什麼區別。如果攻擊者將 O.MG 電纜留在會議或飯店周圍，任何借用該電纜的人都會受到威脅。

簡單防禦

• USB 資料攔截器 （「USB 安全套」） — 僅實體連接電源接腳、阻止資料的小型加密狗。大約10美元。對於大多數旅行者來說是永久性的解決方案。
• 使用牆壁插座，而不是 USB。 交流電源供應器是無源的；他們無法攻擊您的手機。
• 攜帶您自己的充電器。 攜帶一個小型壁式轉接器和您自己的電纜。從插座充電。
• 行動電源。 從您信任的電池而不是您不信任的連接埠充電。
• 僅充電模式。 現代手機預設採用此模式；驗證您的裝置是否這樣做，並且永遠不要接受公共充電器上的「信任此電腦」提示。

USB-C 併發症

USB-C 與 PD（供電）協商涉及少量雙向通信，即使僅在充電時也是如此。原則上，惡意充電器可以利用 PD 協定錯誤。實際上，在野外尚未觀察到通過此路線進行的真正攻擊。協議表面很小且經過充分測試。

超越個人使用

對於組織：

• 永遠不要將奇怪的USB設備插入公司機器。 2010 年針對伊朗核設施的 Stuxnet 攻擊使用掉落的 USB 驅動器作為初始向量。
• 使用端點原則停用不需要 USB 大容量儲存的電腦。
• 對於高安全性環境，使用硬體資料二極體的完整氣隙進行單向資料傳輸。

針對組織的 USB 攻擊比針對個人的 USB 攻擊更頻繁地記錄在案，這正是因為目標值更高。

誇大的FBI警告

病毒式傳播的2023年FBI推文並沒有添加新的威脅情報；它只是重申了長期以來的建議。幾位安全研究人員指出，尚未記錄到重大攻擊。就一般衛生而言，該警告是合理的；將其視為持續威脅是矯枉過正了。

對於大多數旅客來說，機場的現實風險是盜竊、監視和 Wi-Fi 攻擊，而不是果汁劫持。將精力花在可見的威脅上，而犧牲更重要的防禦是一種常見的模式。