ChoiceJacking

ChoiceJacking: Die neue USB-Gefahr für Android & iOS – So schützen Sie sich

News, Smartphone / Von /

Der Akku ist fast leer, die nächste Steckdose weit entfernt – doch da, eine öffentliche USB-Ladestation am Flughafen, im Café oder Hotel. Ein kurzer Anschluss, und das Smartphone tankt wieder Energie. Diese Bequemlichkeit hat jedoch eine Schattenseite, vor der Sicherheitsexperten seit über einem Jahrzehnt warnen: das sogenannte „Juice Jacking“. Dahinter verbirgt sich die Gefahr, dass manipulierte USB-Ports nicht nur Strom liefern, sondern heimlich Daten stehlen oder Schadsoftware aufspielen. Obwohl Gegenmaßnahmen eingeführt wurden, zeigt eine neue Angriffsmethode namens „ChoiceJacking“, dass die Gefahr realer ist als je zuvor und bestehende Schutzmechanismen umgangen werden können.

Entdeckt wurde diese raffinierte Technik von Sicherheitsforschern der Technischen Universität Graz in Österreich. Ihre Arbeit offenbart einen alarmierenden Zustand der USB-Sicherheit bei mobilen Geräten und unterstreicht die anhaltende Herausforderung, Benutzerfreundlichkeit und Sicherheit in Einklang zu bringen. Selbst nach Jahren der Warnungen und technologischen Anpassungen finden Angreifer neue Wege, die Schnittstelle auszunutzen, die für uns so alltäglich geworden ist. Dieser Beitrag erklärt, was ChoiceJacking ist, wie es funktioniert, welche Geräte betroffen sind und – am wichtigsten – wie Nutzer sich davor schützen können.

Rückblick: Was war Juice Jacking?

Der Begriff „Juice Jacking“ beschreibt einen Cyberangriff, bei dem Kriminelle öffentliche USB-Ladestationen oder Ladekabel manipulieren, um Malware auf angeschlossene Geräte zu schleusen oder sensible Daten zu extrahieren. Die Analogie zum digitalen Taschendiebstahl trifft es gut: Während das Gerät scheinbar harmlos „Saft“ (Strom) tankt, wird es gleichzeitig „gekapert“ (hijacked).

Die technische Grundlage dafür ist die Doppelfunktion von USB-Verbindungen: Sie übertragen nicht nur Energie, sondern ermöglichen auch einen Datenaustausch. Eine manipulierte Ladestation kann diese Datenverbindung nutzen, um auf das Dateisystem zuzugreifen oder Schadcode auszuführen. Bereits 2011 demonstrierten Forscher auf der Sicherheitskonferenz DefCon im Rahmen des „Wall of Sheep“-Projekts die potenziellen Gefahren solcher Angriffe und schärften das Bewusstsein für diese Schwachstelle.

Als Reaktion darauf führten Betriebssystemhersteller wie Apple und Google Schutzmaßnahmen ein. Die bekannteste ist die Abfrage, ob dem angeschlossenen Computer vertraut werden soll („Trust This Computer?“), bevor eine Datenverbindung zugelassen wird. Android-Geräte fragen oft explizit, ob nur geladen oder auch Dateien übertragen werden sollen. Diese Eingabeaufforderungen sollten verhindern, dass ohne Zustimmung des Nutzers Daten fließen. Diese Entwicklung zeigt ein reaktives Sicherheitsmodell: Man adressierte das bekannte Problem des unautorisierten Zugriffs, unterschätzte aber möglicherweise die Fähigkeit von Angreifern, genau diesen Zustimmungsmechanismus zu manipulieren.

Trotz dieser Maßnahmen und anhaltender Warnungen durch Behörden gab es eine Debatte über die tatsächliche Verbreitung von Juice-Jacking-Angriffen in freier Wildbahn. Einige Stimmen bezeichneten die Warnungen als übertrieben, da dokumentierte Fälle von Massenangriffen fehlten.13 Diese Skepsis könnte jedoch zu einer gefährlichen Sorglosigkeit bei Nutzern und Entwicklern geführt haben, die die grundlegende Anfälligkeit von USB-Verbindungen unterschätzten – ein Nährboden für die nächste Generation von Angriffen wie ChoiceJacking.

ChoiceJacking: Wie die Schutzmaßnahmen umgangen werden

ChoiceJacking hebelt die bisherigen Schutzmaßnahmen aus, indem es eine grundlegende Annahme widerlegt: Die Entwickler der Gegenmaßnahmen gingen davon aus, dass ein Angreifer keine Benutzereingaben simulieren kann, während die Aufforderung zur Datenverbindung angezeigt wird oder der Verbindungsaufbau läuft. Die Forscher aus Graz haben jedoch gezeigt, dass genau dies möglich ist.

Der Kern des Angriffs besteht darin, dass ein manipuliertes Ladegerät – ausgestattet mit zusätzlicher Hardware wie einem Raspberry Pi und einer speziell angefertigten Platine – autonom Benutzereingaben wie Bildschirmberührungen oder Tastatureingaben vortäuscht. Dadurch kann es die Sicherheitsabfrage („Diesem Computer vertrauen?“) selbstständig bestätigen und so die Datenverbindung ohne Wissen oder Zutun des Nutzers aktivieren.7 Es „kapert“ also die Auswahlmöglichkeit (Choice) des Nutzers.

Die Forscher demonstrierten verschiedene Techniken, um dies zu erreichen:

  • Manipulation der Geräterolle: Durch Ausnutzung von Protokollen wie USB Power Delivery kann das bösartige Ladegerät dem Smartphone signalisieren, dass es selbst geladen werden möchte, wodurch das Telefon in den Host-Modus wechselt und anfälliger für Eingaben wird.
  • Input Queue Manipulation (Android): Eine spezifische Android-Technik beinhaltet das Fluten der Eingabewarteschlange mit Anfragen, bevor der Modus gewechselt wird, was die Einschleusung von Tastatureingaben ermöglicht.
  • Bluetooth-Emulation: Das manipulierte Ladegerät könnte auch eine Bluetooth-Tastatur emulieren, um Eingaben an das verbundene Gerät zu senden.
  • Stealth-Modus durch Seitenkanalangriff: Um unbemerkt zu agieren, insbesondere wenn das Gerät entsperrt, aber gerade nicht aktiv genutzt wird, setzten die Forscher einen Seitenkanalangriff über die Stromleitung ein. Damit konnten sie erkennen, wann der Nutzer das Display nicht beobachtet, und den Angriff ohne sichtbare Artefakte durchführen.

Diese Methoden erfordern zwar eine gewisse technische Raffinesse und spezielle Hardware,  die jedoch laut den Forschern kostengünstig realisierbar ist. Das zugrundeliegende Prinzip des Angriffs ist dabei plattformunabhängig und funktionierte in den Tests sowohl unter Android als auch unter iOS.

ChoiceJacking markiert damit eine Weiterentwicklung von passiven Angriffen (wie dem ursprünglichen Juice-Jacking-Konzept, das oft nur Daten kopierte, wenn der Zugriff bereits möglich war) hin zu einer aktiven Manipulation der Benutzeroberfläche und Sicherheitsprotokolle des Geräts über die USB-Schnittstelle. Die Nutzung von Seitenkanälen zur Verschleierung zeigt zudem ein hohes Maß an Raffinesse, das über die reine technische Umgehung hinausgeht und darauf abzielt, die Entdeckung durch den Nutzer zu verhindern.

Wer ist betroffen? Der alarmierende Zustand der USB-Sicherheit

Die Forschungsergebnisse zeichnen ein beunruhigendes Bild: ChoiceJacking funktionierte auf allen getesteten Geräten von acht verschiedenen Herstellern, darunter die sechs größten nach Marktanteil. Sowohl Android- als auch iOS-Geräte waren initial betroffen.

Die Reaktion der Hersteller fiel jedoch unterschiedlich aus:

  • iOS: Apple hat die Schwachstelle inzwischen geschlossen. Berichten zufolge wurde das Problem mit iOS 18.4 oder kurz davor behoben, sodass Angriffe auf aktuellen iPhones und iPads erfolgreich abgewehrt werden.
  • Android: Die Situation im Android-Lager ist deutlich komplexer und problematischer.
    • Google Pixel: Google hat Patches bereitgestellt, die ChoiceJacking auf Pixel-Geräten unterbinden, insbesondere ab Android 15.
    • Andere Hersteller (z.B. Samsung): Viele Android-Geräte anderer Hersteller bleiben jedoch anfällig. Das liegt zum einen daran, dass Updates auf Android 15 verzögert oder gar nicht ausgeliefert werden. Zum anderen haben einige Hersteller, darunter prominent Samsung mit seiner One UI 7-Oberfläche, selbst auf Android 15 die spezifischen Authentifizierungsanforderungen nicht implementiert, die zur Abwehr von ChoiceJacking notwendig wären. Diese Geräte bleiben trotz aktuellem Betriebssystem verwundbar.
    • Patches und CVEs: Die spezifischen Schwachstellen, die ChoiceJacking ausnutzt, wurden unter den CVE-Nummern CVE-2024-20900, CVE-2024-43085, CVE-2025-24193 und CVE-2024-54096 erfasst. Diese und verwandte Lücken werden über die monatlichen Android Security Bulletins (ASB) adressiert. Beispielsweise beschreibt CVE-2024-43085 eine Möglichkeit, über USB auf Geräteinhalte zuzugreifen, ohne das Gerät zu entsperren, und CVE-2024-54096 betrifft den MTP-Dateitransfer bei Huawei/HarmonyOS. Die ASBs zeigen einen kontinuierlichen Patch-Prozess, der jedoch von der zeitnahen Umsetzung durch die Gerätehersteller abhängt.
    • Zukünftige Maßnahmen: Google plant offenbar für Android 16 eine Funktion, die den USB-Zugriff bei gesperrten Telefonen generell blockieren könnte, was eine weitere Hürde für solche Angriffe darstellen würde.

Die stark unterschiedliche Patch-Situation, insbesondere im Android-Ökosystem, verdeutlicht dessen Fragmentierung als erhebliche Sicherheitsschwäche. Während Apple durch die Kontrolle über Hard- und Software relativ einheitliche und schnelle Updates sicherstellen kann 23, führen Verzögerungen und Implementierungsunterschiede bei Android-Herstellern zu einem Flickenteppich an Sicherheitsniveaus. Google-Patches allein garantieren keine Sicherheit, wenn sie nicht korrekt oder rechtzeitig beim Endnutzer ankommen.

Die folgende Tabelle fasst den Patch-Status gegen ChoiceJacking basierend auf den verfügbaren Informationen zusammen:

Plattform/Hersteller Betriebssystem-Kontext Patch-Status (gegen ChoiceJacking) Relevante CVEs
Apple iOS (iPhone/iPad) iOS 18.4+ (oder neuer) Gepatcht (CVEs von konzeptionell relevant, aber von Apple behoben)
Google Pixel Android 15+ Gepatcht CVE-2024-20900, CVE-2024-43085, CVE-2025-24193, CVE-2024-54096
Samsung Android Android 15 mit One UI 7 Potenziell anfällig (fehlende Auth.-Implementierung) (Dieselben CVEs relevant, falls ungepatcht)
Andere Android Hersteller Pre-Android 15 / A15 ohne Patch Wahrscheinlich anfällig (Dieselben CVEs relevant, falls ungepatcht)
Huawei HarmonyOS Diverse Versionen CVE-2024-54096 (MTP) gepatcht CVE-2024-54096

Hinweis: Diese Tabelle basiert auf den vorliegenden Informationen; der Status einzelner Modelle kann variieren.

Die Existenz mehrerer CVEs für ChoiceJacking deutet darauf hin, dass die Schwachstelle sich in verschiedenen Systemkomponenten manifestiert und komplexe, mehrteilige Korrekturen erfordert, was die Herausforderung für eine flächendeckende Behebung weiter erhöht.

Welche Risiken bestehen?

Die erfolgreiche Durchführung eines ChoiceJacking-Angriffs birgt erhebliche Risiken für die betroffenen Nutzer:

  • Zugriff auf sensible Daten: Das primäre Risiko ist der unbefugte Zugriff auf persönliche Daten, die auf dem Gerät gespeichert sind. Dazu gehören Fotos, Dokumente, E-Mails, Kontaktdaten und potenziell auch Daten aus installierten Apps.
  • Datenextraktion von gesperrten Geräten: Besonders alarmierend ist die Erkenntnis der Forscher, dass bei Geräten von mindestens zwei Herstellern (die in den Quellen nicht namentlich genannt werden) Daten sogar vom gesperrten Gerät extrahiert werden konnten. Dies durchbricht eine fundamentale Sicherheitsbarriere und untergräbt den Schutz durch Passwörter oder biometrische Sperren. Solche Fähigkeiten ähneln denen von forensischen Extraktionstools, die von Strafverfolgungsbehörden oder auch repressiven Regimen eingesetzt werden könnten. Die Tatsache, dass dies mit einer manipulierten Ladestation möglich ist, ist höchst besorgniserregend und stellt eine erhebliche Eskalation der Bedrohung dar, da es Angriffe ohne Nutzerinteraktion oder Entsperrung ermöglicht.
  • Installation von Malware: Obwohl die Forschung sich primär auf die Datenextraktion konzentrierte, ist es sehr wahrscheinlich, dass ein Angreifer mit diesem Zugriffslevel auch Malware installieren kann. Dies würde dem Angreifer dauerhaften Zugriff, die Möglichkeit zur Überwachung oder die vollständige Kontrolle über das Gerät ermöglichen, ähnlich den ursprünglichen Befürchtungen beim Juice Jacking.1 Der erreichte Zugriff auf das Dateisystem legt nahe, dass nicht nur vorhandene Dateien gestohlen, sondern potenziell auch neue Dateien geschrieben, Apps installiert oder Systemeinstellungen manipuliert werden könnten.
  • Risiken für Unternehmen: Werden Firmengeräte kompromittiert, vervielfachen sich die Risiken. Ein erfolgreicher Angriff könnte Angreifern Zugang zu vertraulichen Unternehmensdaten, internen Netzwerken oder E-Mail-Konten verschaffen und weitreichende wirtschaftliche Schäden verursachen.

Die Forscher hinter dem Angriff

Die Entdeckung und Analyse von ChoiceJacking ist das Ergebnis der Arbeit eines Forscherteams der Technischen Universität Graz in Österreich. Die beteiligten Forscher sind Florian Draschbacher, Lukas Maar, Mathias Oberhuber und Stefan Mangard.

Ihre Forschungsergebnisse wurden unter dem Titel „ChoiceJacking: Compromising Mobile Devices through Malicious Chargers like a Decade ago“ auf dem renommierten USENIX Security Symposium 2025 präsentiert. Die Veröffentlichung auf einer solch hochrangigen Konferenz unterstreicht die Signifikanz und Glaubwürdigkeit der Ergebnisse, da sie einem strengen Peer-Review-Prozess unterzogen wurden.

Zusätzlich stellten die Forscher umfangreiche Artefakte zur Verfügung, darunter den Proof-of-Concept-Code, Hardware-Designs für das manipulierte Ladegerät und Videoaufzeichnungen der Angriffe, um die Reproduzierbarkeit ihrer Arbeit zu gewährleisten. Dies zeugt von wissenschaftlicher Transparenz und ermöglicht es anderen Experten, die Ergebnisse zu überprüfen. Die Art des Angriffs und die Publikationshistorie einzelner Forscher, wie Lukas Maar, der auch zu Kernel-Seitenkanälen publiziert hat, deuten auf tiefgreifende Expertise in den Bereichen Low-Level-Systeme, Hardware-Software-Interaktion und Sicherheitsprotokolle hin.

Den Schwachstellen wurden die CVE-Nummern CVE-2024-20900, CVE-2024-43085, CVE-2025-24193 und CVE-2024-54096 zugewiesen. Die Forscher informierten die betroffenen Hersteller wie Apple und Google verantwortungsbewusst über ihre Funde (Responsible Disclosure), was diesen ermöglichte, Patches zu entwickeln und auszurollen.

So schützen Sie sich vor ChoiceJacking

Obwohl die Hersteller an Patches arbeiten, liegt ein wesentlicher Teil des Schutzes beim Nutzer selbst. Angesichts der Verzögerungen und Inkonsistenzen bei Updates, insbesondere im Android-Ökosystem, sind proaktive Schutzmaßnahmen unerlässlich. Folgende Empfehlungen sollten beachtet werden:

  • Vermeiden Sie öffentliche/unbekannte USB-Ports: Dies ist die wichtigste Regel. Nutzen Sie keine USB-Ladeanschlüsse an öffentlichen Orten wie Flughäfen, Hotels, Einkaufszentren oder in Verkehrsmitteln, wenn Sie der Quelle nicht vertrauen können. Betrachten Sie jeden unbekannten USB-Port als potenziell gefährlich.
  • Nutzen Sie eigene Ladeausrüstung:
    • Verwenden Sie Ihr eigenes Netzteil (AC-Adapter) und schließen Sie es direkt an eine Steckdose an.
    • Führen Sie eine Powerbank (externer Akku) mit sich, um unterwegs unabhängig von USB-Ports laden zu können.
    • Nutzen Sie Ihr eigenes Autoladegerät.
  • Verwenden Sie einen USB-Datenblocker: Diese kleinen Adapter, manchmal auch „USB-Kondome“ genannt, werden zwischen das Ladekabel und den USB-Port gesteckt. Sie blockieren die Datenleitungen im USB-Kabel, lassen aber den Strom zum Laden durchfließen. Dadurch wird ein Datenaustausch und somit ChoiceJacking verhindert. Solche Adapter sind kostengünstig erhältlich.
  • Nutzen Sie Nur-Lade-Kabel: Es gibt spezielle USB-Kabel, die keine Datenleitungen enthalten und nur zum Laden dienen. Beachten Sie jedoch, dass diese Kabel nicht für die Synchronisierung von Daten mit einem Computer verwendet werden können.
  • Halten Sie Ihr Betriebssystem aktuell: Installieren Sie Updates für Ihr Smartphone-Betriebssystem (iOS oder Android) immer zeitnah. Hersteller veröffentlichen Sicherheitspatches, um bekannte Schwachstellen wie ChoiceJacking zu schließen. Dies ist die primäre technische Verteidigungslinie gegen bereits bekannte Lücken.
  • Achten Sie auf unerwartete Abfragen: Sollte beim Anschließen an eine vermeintliche Ladequelle eine Abfrage wie „Diesem Computer vertrauen?“ oder „Daten freigeben?“ erscheinen, obwohl Sie nur laden möchten, trennen Sie die Verbindung sofort. Auch wenn ChoiceJacking diese Abfrage umgeht, könnte eine unerwartete Meldung auf andere Probleme oder fehlgeschlagene Angriffsversuche hindeuten.
  • Erwägen Sie das Deaktivieren von USB-Daten (falls möglich): Einige Unternehmensverwaltungstools oder zukünftige Betriebssystemversionen wie Android 16 könnten die Möglichkeit bieten, die Datenübertragung über USB generell zu deaktivieren. Für normale Nutzer ist eine solche Einstellung jedoch meist nicht verfügbar.
  • Physische Sicherheit: Da einige Angriffe physischen Zugriff erfordern, ist es ratsam, das Gerät nicht unbeaufsichtigt zu lassen. Das Ausschalten des Geräts vor dem Laden könnte theoretisch zusätzlichen Schutz bieten, ist aber oft unpraktisch.
  • Nutzen Sie drahtloses Laden: Wenn verfügbar, ist das drahtlose Laden (z.B. über Qi-Ladepads) eine sichere Alternative, da hierbei keine physische Datenverbindung über USB zustande kommt.

Diese Empfehlungen zeigen, dass ein effektiver Schutz eine Kombination aus technischen Maßnahmen (Updates) und bewusstem Nutzerverhalten erfordert. Sich allein auf Software-Patches zu verlassen, ist insbesondere aufgrund der Fragmentierung im Android-Markt nicht ausreichend. Die Existenz und Empfehlung von Zubehör wie Datenblockern unterstreicht das grundlegende Risiko, das von der Doppelfunktion der USB-Schnittstelle ausgeht und das durch Software allein bisher nicht vollständig eliminiert werden konnte.

Fazit: Wachsamkeit ist entscheidend

ChoiceJacking ist eine ernste Bedrohung, die zeigt, wie sich Angreifer weiterentwickeln und selbst etablierte Sicherheitsmechanismen aushebeln können. Es ist eine Weiterentwicklung des bekannten Juice-Jacking-Problems, die durch die Manipulation von Benutzerabfragen eine neue Stufe der Raffinesse erreicht.

Während Hersteller wie Apple und Google reagiert haben und Patches bereitstellen, bleibt die Situation insbesondere für Nutzer von Android-Geräten anderer Hersteller prekär, solange Updates verzögert oder unvollständig implementiert werden. Dies unterstreicht die Notwendigkeit für Nutzer, nicht blind auf den Schutz durch das Betriebssystem zu vertrauen, sondern selbst aktiv zu werden.

Die wichtigste Erkenntnis ist, dass Wachsamkeit und ein gesundes Misstrauen gegenüber öffentlichen USB-Ladequellen unerlässlich sind. Die Bequemlichkeit sollte niemals auf Kosten der Sicherheit gehen. Durch die konsequente Anwendung der empfohlenen Schutzmaßnahmen – die Nutzung eigener Ladegeräte, die Verwendung von Datenblockern bei Bedarf und das zeitnahe Installieren von Updates – können Nutzer das Risiko einer Kompromittierung erheblich reduzieren.

Die Entdeckung von ChoiceJacking dient als eindringliche Erinnerung daran, dass Sicherheitsannahmen, selbst solche, die in weit verbreiteten Schutzmaßnahmen verankert sind, fehlerhaft sein und durch hartnäckige Forschung oder Angriffe gebrochen werden können. Cybersicherheit ist kein Zustand, sondern ein kontinuierlicher Prozess, der ständige Aufmerksamkeit, Anpassung und ein Bewusstsein für neue Bedrohungen erfordert, um unsere digitalen Leben zu schützen.

0 0 votes
Artikel Bewertung
Abonnieren
Benachrichtige mich bei
0 Comments
Älteste
Neueste Am meisten bewertet
Inline Feedbacks
View all comments
Nach oben scrollen