ศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล เตือนภัยอย่าชาร์จมือถือตามที่สาธารณะ เสี่ยงข้อมูลรั่วไหล
ภัยใหม่ชื่อ “Choicejacking” คือการแฮกข้อมูลจากมือถือผ่านสายชาร์จ USB สาธารณะ เช่น ตามสนามบินหรือร้านกาแฟ โดยไม่แสดงการแจ้งเตือนใดๆ บนหน้าจอ เป็นวิวัฒนาการจากการโจมตีแบบ “Juice Jacking” ที่อันตรายยิ่งกว่า โดยอาศัยใช้ช่องโหว่ในระบบ iOS และ Android ที่เสียบผ่าน USB โดยไม่ระวัง
เดี๋ยวนี้จะชาร์จแบตตามที่สาธารณะต้องระวังให้ดี! มีภัยใหม่ชื่อ “Choicejacking” ที่แฮกเกอร์สามารถดูดข้อมูลในมือถือเรา (ทั้งรูปภาพ แชทส่วนตัว) ผ่านสายชาร์จ USB ฟรีตามสนามบินหรือร้านกาแฟได้แบบเนียนๆ โดยที่หน้าจอไม่ขึ้นเตือนอะไรเลย
Choicejacking เป็นการโจมตีทางไซเบอร์ที่พัฒนามาจากการโจมตีแบบ “Juice Jacking” ในอดีต แต่มีความซับซ้อนและอันตรายกว่ามาก โดยอาศัยช่องโหว่จากความไว้วางใจที่ระบบปฏิบัติการของสมาร์ทโฟน (ทั้ง iOS และ Android) มีต่ออุปกรณ์เสริมที่เชื่อมต่อผ่านพอร์ต USB
หลักการทำงาน คือ การหลอกให้สมาร์ทโฟนเข้าใจผิดและทำการอนุมัติการเชื่อมต่อข้อมูลโดยที่ผู้ใช้ไม่รู้ตัว ซึ่งสามารถทำได้หลายวิธี ดังนี้
- ปลอมตัวเป็นอุปกรณ์ที่น่าเชื่อถือ: อุปกรณ์ชาร์จของแฮกเกอร์จะปลอมตัวเป็นอุปกรณ์ที่สมาร์ทโฟนมักจะให้สิทธิ์การเข้าถึงโดยง่าย เช่น คีย์บอร์ด หรือเมาส์บลูทูธ เมื่อเราเสียบสายชาร์จเข้าไป อุปกรณ์ปลอมนี้จะส่งคำสั่งไปยังสมาร์ทโฟนของเรา
- สร้างคำสั่งลวงเพื่ออนุมัติการเชื่อมต่อ: เมื่อมีการเสียบสายชาร์จ ปกติแล้วสมาร์ทโฟนจะแสดงหน้าต่าง pop-up ขึ้นมาถามผู้ใช้ว่าจะให้ “ชาร์จเท่านั้น” (Charge only) หรือ “ถ่ายโอนไฟล์” (File transfer) แต่อุปกรณ์ Choicejacking จะฉวยโอกาสนี้ส่งคำสั่งที่มองไม่เห็น (ในรูปแบบของ keystroke หรือการกดปุ่ม) เพื่อเลือก “ถ่ายโอนไฟล์” ให้โดยอัตโนมัติ
- โจมตีด้วยความเร็วสูง: กระบวนการทั้งหมดนี้เกิดขึ้นในเวลาที่รวดเร็วมาก (น้อยกว่า 133 มิลลิวินาที) ซึ่งเร็วกว่าที่มนุษย์จะสังเกตเห็นหรือตอบสนองได้ทัน ทำให้ผู้ใช้ไม่รู้ตัวเลยว่าสมาร์ทโฟนของตนได้อนุญาตให้มีการถ่ายโอนข้อมูลไปแล้ว
- ใช้ช่องโหว่ของ Android Open Accessory Protocol (AOAP): ในอุปกรณ์ Android บางรุ่น แฮกเกอร์สามารถใช้ช่องโหว่ของโปรโตคอล AOAP เพื่อส่งคำสั่งควบคุมสมาร์ทโฟนได้แม้ว่าจะอยู่ในโหมดชาร์จก็ตาม
เมื่อแฮกเกอร์สามารถเข้าถึงสมาร์ทโฟนในโหมดถ่ายโอนข้อมูลได้แล้ว ก็จะสามารถขโมยข้อมูลส่วนตัวต่างๆ ของเราได้ ไม่ว่าจะเป็นรูปภาพ วิดีโอ รายชื่อผู้ติดต่อ ข้อความ หรือแม้กระทั่งติดตั้งมัลแวร์เพื่อควบคุมเครื่องจากระยะไกล
วิธีการป้องกันตัวเองจากการโจมตี Choicejacking
- หลีกเลี่ยงการใช้พอร์ต USB สาธารณะ: วิธีที่ดีและปลอดภัยที่สุดคือ การใช้หัวชาร์จ (Adapter) และสายชาร์จส่วนตัวเสียบกับเต้ารับไฟฟ้าโดยตรง แทนการเสียบสายชาร์จเข้ากับพอร์ต USB ที่มีให้บริการตามสถานที่ต่างๆ
- พกพาวเวอร์แบงค์ (Power Bank): การมีพาวเวอร์แบงค์ส่วนตัวจะช่วยให้คุณสามารถชาร์จสมาร์ทโฟนได้ทุกที่ทุกเวลา โดยไม่ต้องเสี่ยงกับการใช้ที่ชาร์จสาธารณะ
- ใช้ “USB Data Blocker”: เป็นอุปกรณ์ขนาดเล็กที่ทำหน้าที่เหมือน “ถุงยางอนามัย” ของพอร์ต USB โดยจะเสียบคั่นระหว่างสายชาร์จและพอร์ต USB สาธารณะ อุปกรณ์นี้จะอนุญาตให้กระแสไฟฟ้าไหลผ่านเพื่อชาร์จแบตเตอรี่ได้เท่านั้น แต่จะปิดกั้นช่องทางการถ่ายโอนข้อมูลทั้งหมด
- เปิดใช้งาน “โหมดล็อกดาวน์” (Lockdown Mode): สมาร์ทโฟนบางรุ่น (เช่น iPhone และ Android บางยี่ห้อ) มีฟีเจอร์ Lockdown Mode ซึ่งเมื่อเปิดใช้งานจะจำกัดการเชื่อมต่อผ่านพอร์ต USB อย่างเข้มงวด ควรเปิดใช้งานโหมดนี้ทุกครั้งก่อนที่จะชาร์จในที่ที่ไม่น่าไว้ใจ
- สังเกตหน้าจอขณะชาร์จ: แม้ว่าการโจมตีจะรวดเร็ว แต่หากเป็นไปได้ควรสังเกตหน้าจอสมาร์ทโฟนของคุณในขณะที่เสียบสายชาร์จครั้งแรก ว่ามีหน้าต่าง pop-up ที่น่าสงสัยปรากฏขึ้นมาหรือไม่
- อัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ: ผู้ผลิตสมาร์ทโฟนจะมีการออกอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยอยู่เสมอ การอัปเดตซอฟต์แวร์ให้เป็นปัจจุบันจะช่วยลดความเสี่ยงจากการถูกโจมตีได้
การตระหนักรู้และปรับเปลี่ยนพฤติกรรมเพียงเล็กน้อย ก็สามารถช่วยให้คุณปลอดภัยจากภัยคุกคามทางไซเบอร์รูปแบบใหม่นี้ได้แล้ว