Todas as três técnicas de ChoiceJacking derrotam as mitigações originais de suco de suco Android. Um deles também trabalha contra essas defesas nos dispositivos da Apple. Nos três, o carregador atua como um host USB para acionar o prompt de confirmação no telefone direcionado.
Os ataques exploram várias fraquezas no sistema operacional que permitem que o carregador injete autonomamente “eventos de entrada” que podem inserir o texto ou clicar em botões apresentados nos avisos da tela como se o usuário tivesse feito isso diretamente no telefone. Nos três, o carregador acaba ganhando dois canais conceituais para o telefone: (1) uma entrada que permite que ele falsifique o consentimento do usuário e (2) uma conexão de acesso a arquivos que pode roubar arquivos.
Uma ilustração de ataques de escolha de escolha. (1) O dispositivo da vítima está anexado ao carregador malicioso. (2) O carregador estabelece um canal de entrada extra. (3) O carregador inicia uma conexão de dados. É necessário consentimento do usuário para confirmá -lo. (4) O carregador usa o canal de entrada para falsificar o consentimento do usuário.
Crédito: Draschbacher et al.
É um teclado, é um anfitrião, é ambos
Na variante ChoiceJacking que derrota as mitigações de forço de suco de Apple e Google, o carregador começa como um teclado USB ou um dispositivo periférico semelhante. Ele envia a entrada do teclado sobre o USB que chama pressões simples de teclas, como seta para cima ou para baixo, mas também combinações de teclas mais complexas que acionam configurações ou abrem uma barra de status.
A entrada estabelece uma conexão Bluetooth a um segundo teclado miniaturizado escondido dentro do carregador malicioso. O carregador usa a entrega de energia USB, um padrão disponível nos conectores USB-C que permite que os dispositivos forneçam ou recebam energia para ou do outro dispositivo, dependendo das mensagens que trocam, um processo conhecido como Swap de função de dados USB.
Um carregador de escolha de escolha simulada. As linhas USB bidirecionais permitem swaps de função de dados.
Crédito: Draschbacher et al.
Com o carregador agora atuando como host, ele aciona a caixa de diálogo de consentimento de acesso ao arquivo. Ao mesmo tempo, o carregador ainda mantém sua função como um dispositivo periférico que atua como um teclado Bluetooth que aprova a caixa de diálogo de consentimento de acesso ao arquivo.
As etapas completas para o ataque, fornecidas no artigo da USENIX, são:
1. O dispositivo da vítima está conectado ao carregador malicioso. O dispositivo possui sua tela desbloqueada.
2. Em um momento adequado, o carregador executa uma troca de função de dados USB PD (DR). O dispositivo móvel agora atua como um host USB, o carregador atua como um dispositivo de entrada USB.
3. O carregador gera entrada para garantir que a BT esteja ativada.
4. O carregador navega para a tela de emparelhamento BT nas configurações do sistema para tornar o dispositivo móvel descoberto.
5. O carregador começa a anunciar como um dispositivo de entrada BT.
6. Ao examinar constantemente os dispositivos Bluetooth recém -descobertos, o carregador identifica o endereço do dispositivo BT do dispositivo móvel e inicia o emparelhamento.
7. Através do dispositivo de entrada USB, o carregador aceita a caixa de diálogo Sim/não emparelhamento que aparece no dispositivo móvel. O dispositivo de entrada Bluetooth está agora conectado.
8. O carregador envia outra troca USB PD DR. Agora é o host USB e o dispositivo móvel é o dispositivo USB.
9. Como o host USB, o carregador inicia uma conexão de dados.
10. Através do dispositivo de entrada Bluetooth, o carregador confirma sua própria conexão de dados no dispositivo móvel.
Essa técnica funciona contra todos, exceto um dos 11 modelos de telefone testados, com o suporte sendo um dispositivo Android executando o Vivo FuNTouch OS, que não suporta totalmente o protocolo USB PD. Os ataques contra os 10 modelos restantes levam cerca de 25 a 30 segundos para estabelecer o emparelhamento Bluetooth, dependendo do modelo de telefone sendo invadido. O invasor então leu e grava o acesso aos arquivos armazenados no dispositivo enquanto permanecer conectado ao carregador.