Ser\u00e1 que suas fotos e outros dados podem ser acessados ou apagados do seu smartphone enquanto ele carrega em uma esta\u00e7\u00e3o p\u00fablica, como no transporte p\u00fablico, em uma cl\u00ednica, no aeroporto ou em outro lugar? Mesmo com as medidas de seguran\u00e7a dos fabricantes, \u00e0s vezes, isso pode ocorrer.<\/p>\n
Hackers realizaram esse tipo de ataque pela primeira vez em 2011<\/a>. Uma porta USB de carregamento que parece inofensiva, mas oculta um computador que pode se conectar ao seu smartphone no modo de transfer\u00eancia de dados usando o Protocolo de Transfer\u00eancia de M\u00eddia<\/a> (MTP) ou o Protocolo de Transfer\u00eancia de Imagens<\/a> (PTP), e roubar informa\u00e7\u00f5es do seu dispositivo. Esse ataque ficou conhecido como juice-jacking<\/a>, e tanto o Google quanto a Apple criaram rapidamente maneiras de se proteger contra ele. Quando um smartphone se conecta a um dispositivo com MTP\/PTP, ele solicita ao usu\u00e1rio que escolha entre permitir a transfer\u00eancia de dados ou somente o carregamento. Por muitos anos, esse cuidado simples pareceu resolver o problema\u2026 at\u00e9 2025, quando pesquisadores da Universidade de Tecnologia de Graz, na Est\u00edria, \u00c1ustria, encontraram uma forma de dribl\u00e1-lo.<\/p>\n Nos novos ataques<\/a>, chamados de ChoiceJacking, o pr\u00f3prio dispositivo malicioso embutido na esta\u00e7\u00e3o de carregamento confirma que a v\u00edtima deseja se conectar no modo de transfer\u00eancia de dados. Existem tr\u00eas variantes do ataque, que dependem do fabricante e da vers\u00e3o do sistema operacional. Cada variante encontra uma maneira diferente de contornar as limita\u00e7\u00f5es espec\u00edficas dos protocolos USB: um dispositivo n\u00e3o pode funcionar simultaneamente no modo host (como um computador) e no modo perif\u00e9rico (como um mouse ou teclado).<\/p>\n O primeiro m\u00e9todo <\/strong>\u00e9 o mais complexo, mas funciona no iOS e no Android. Um microcomputador se camufla de esta\u00e7\u00e3o de carregamento. Ele pode se conectar ao smartphone como um teclado USB, host USB (computador) e teclado Bluetooth.<\/p>\n A esta\u00e7\u00e3o maliciosa simula um teclado USB quando o smartphone \u00e9 conectado, e envia comandos para habilitar o Bluetooth e se conecta a um dispositivo, o mesmo computador malicioso, que agora simula ser um teclado Bluetooth. Depois disso, o sistema se reconecta via USB, e, desta vez, simula um computador. O smartphone pergunta ao usu\u00e1rio se deseja permitir a transfer\u00eancia de dados e o dispositivo malicioso confirma a solicita\u00e7\u00e3o \u201cpressionando uma tecla\u201d via Bluetooth.<\/p>\n O segundo m\u00e9todo<\/strong> s\u00f3 funciona no Android e n\u00e3o exige Bluetooth. A esta\u00e7\u00e3o maliciosa finge ser um teclado USB e sobrecarrega o smartphone com comandos de toque de tecla, o que sobrecarrega o buffer de entrada. Enquanto o sistema operacional fica ocupado processando essas entradas sem sentido, o carregador se desconecta e se reconecta, desta vez como um computador. A tela exibe um prompt que questiona em qual modo se conectar e, nesse momento, o final da cauda do buffer de entrada do teclado \u00e9 executado, que cont\u00e9m uma sequ\u00eancia de toques de tecla que confirma a conex\u00e3o no modo de transfer\u00eancia de dados (MTP, PTP ou at\u00e9 modo de depura\u00e7\u00e3o ADB<\/a>).<\/p>\n O terceiro m\u00e9todo<\/strong> tamb\u00e9m s\u00f3 funciona em Android. Ele se aproveita de que todos os smartphones testados implementam o Protocolo de Acesso Aberto do Android (AOAP) incorretamente. O dispositivo malicioso j\u00e1 se conecta como um computador, e envia os eventos de toque de tecla de que precisa via AOAP quando a tela de confirma\u00e7\u00e3o aparece. De acordo com o protocolo, \u00e9 proibido operar nos modos de host USB e AOAP em simult\u00e2neo, mas essa restri\u00e7\u00e3o costuma ser ignorada na pr\u00e1tica.<\/p>\n A Apple e o Google bloquearam esses m\u00e9todos de ataque no iOS\/iPadOS 18.4 e no Android 15, respectivamente. Agora, para confirmar a transfer\u00eancia de dados USB, s\u00f3 pressionar Sim<\/em> n\u00e3o \u00e9 suficiente, tamb\u00e9m \u00e9 necess\u00e1rio passar pela autentica\u00e7\u00e3o biom\u00e9trica, ou inserir uma senha. No Android, a vers\u00e3o do sistema operacional sozinha n\u00e3o garante a seguran\u00e7a do smartphone. Por exemplo, os dispositivos Samsung que executam o shell do One UI 7 n\u00e3o solicitam autentica\u00e7\u00e3o, mesmo utilizando o Android 15.<\/p>\n \u00c9 por isso que se aconselha que usu\u00e1rios que atualizaram para o Android 15 conectem seu smartphone via cabo a um computador seguro conhecido primeiro. Assim, podem verificar se o dispositivo exigir\u00e1 uma senha ou confirma\u00e7\u00e3o biom\u00e9trica. Caso n\u00e3o, evite esta\u00e7\u00f5es de carregamento p\u00fablicas.<\/p>\n Embora as for\u00e7as policiais alertem ocasionalmente sobre ataques de roubo de dados por USB ( 1<\/a>, 2<\/a>), n\u00e3o houve nenhum ataque real documentado publicamente. Isso n\u00e3o significa que eles n\u00e3o ocorreram, mas tamb\u00e9m n\u00e3o \u00e9 uma amea\u00e7a comum.<\/p>\n Se voc\u00ea estiver preocupado com esses ataques, s\u00f3 carregue seus dispositivos usando seu pr\u00f3prio carregador ou carregador port\u00e1til confi\u00e1vel, ou use um bloqueador de dados<\/a> USB, que consiste em um adaptador que evita a transmiss\u00e3o de dados, s\u00f3 permitindo a transmiss\u00e3o de energia atrav\u00e9s do cabo. Esses adaptadores, apelidados de \u201cpreservativos USB\u201d, s\u00e3o bastante eficazes, mas podem retardar o carregamento em smartphones mais recentes, pois tamb\u00e9m bloqueiam os sinais de dados necess\u00e1rios para o modo de carregamento r\u00e1pido<\/a>. Uma op\u00e7\u00e3o \u00e9 usar um cabo USB simples, que n\u00e3o transmite dados. \u00c9 essencial test\u00e1-lo antes em um computador confi\u00e1vel para garantir que nenhuma solicita\u00e7\u00e3o de transfer\u00eancia de dados apare\u00e7a. Dessa forma, ser\u00e1 preciso carreg\u00e1-lo sempre com voc\u00ea, lembrando que ele n\u00e3o oferece carregamento r\u00e1pido.<\/p>\n A prote\u00e7\u00e3o mais importante e dispon\u00edvel \u00e9 atualizar para as vers\u00f5es mais recentes do Android ou iOS.<\/p>\n Se voc\u00ea n\u00e3o tiver escolha, com um sistema operacional desatualizado, sem bloqueador e precisar carregar seu dispositivo urgentemente no carregador USB mais pr\u00f3ximo, fique atento durante o carregamento. Ao conectar o telefone, observe a tela: se o dispositivo n\u00e3o come\u00e7ar a carregar e solicitar que voc\u00ea escolha o tipo de conex\u00e3o, selecione S\u00f3 carregar<\/em>. Se voc\u00ea estiver muito preocupado com seus dados, \u00e9 melhor desconectar e procurar uma porta menos \u201cinteligente\u201d.<\/p>\n Para saber mais sobre outros ataques at\u00edpicos para smartphones, confira:<\/p><\/blockquote>\n Cavalos de Troia instalados em smartphones Android falsos<\/a><\/p><\/blockquote>\n<\/li>\n Invas\u00e3o de Android, macOS, iOS e Linux por meio de uma vulnerabilidade do Bluetooth<\/a><\/p><\/blockquote>\n<\/li>\n Os riscos ocultos de usar dispositivos Android baratos<\/a><\/p><\/blockquote>\n<\/li>\n Loja de aplicativos Android infectada<\/a><\/p><\/blockquote>\n<\/li>\nAtaque ChoiceJacking<\/h2>\n
Quais dispositivos est\u00e3o protegidos contra o ChoiceJacking por USB?<\/h2>\n
O quanto isso \u00e9 s\u00e9rio, e como se proteger?<\/h2>\n
\n