充電器が個人情報を抜き取る？「チョイスジャッキング」の衝撃、＜わずか0.3秒で全ファイル流出も＞【外出先での充電が命取り】になる手法とは（東洋経済オンライン）

　それが「チョイスジャッキング」(choicejacking)という手法だ。チョイスジャッキングでは、悪意のあるUSB接続の充電ポートにスマホを接続すると、ユーザーの許可なしにデータ転送モードに切り替わり、スマホに保存している写真や文書、連絡先などを盗まれてしまう。 ■「ジュースジャッキング」の手法が高度化したもの 　チョイスジャッキングは、2011年に確認された「ジュースジャッキング(juicejacking)」が高度化したものだ。

　スマホをUSBケーブルで接続すると、バッテリーの充電だけではなく、データ通信の経路も開かれる。ジュースジャッキングはその仕組みを利用し、データ通信の経路からデータを抜き取り、遠隔操作が可能なマルウェアをインストールする。マルウェアはさらに他のデバイスへと感染を拡大させる。 　そこで、GoogleとAppleは、USB経由で接続された場合、充電のみを行うのか、データ転送を行うのかをユーザーに尋ねる仕組みを搭載した。特にスマホがロックされている場合は、データ転送を阻止している。

　この対策により、おおよそ10年にわたって安全性が確保されていたのだが、オーストリアのグラーツ工科大学の研究者により、新たな手法が特定されたのだ(「ChoiceJacking: Compromising Mobile Devices through Malicious Chargers like a Decade ago」)。 　チョイスジャッキングは、ジュースジャッキング同様、充電とデータ通信に単一の物理コネクタが使用されることを悪用する。充電からデータ通信へ切り替え、もしくは外部デバイスがスマホのファイルや設定にアクセスすることを許可するなど、ユーザーの操作を偽装してデータ転送を可能にする。

　文書では、Google Samsung、Xiaomi、Appleなど、8社における11種のデバイスでユーザーファイルにアクセスできたことが公開されている。また、OPPOとHonorに関しては、ロックされている場合でもファイルが抽出できたとしている。 ■チョイスジャッキングの、3つの攻撃手法 　文書によると、チョイスジャッキングの攻撃手法は3つあるという。 　1つ目は、AOAP(Android Open Accessory Protocol)経由の権限を利用して、攻撃を行うものだ。攻撃者はAOAPを使用して、充電器をHID(Human Interface Device)入力デバイスとして登録。ユーザー確認プロンプトに対して、攻撃者の充電器がHIDイベントを注入し、プロンプトを自動的に承認する。この手法は、ほぼすべての評価対象のAndroidデバイスで成功している。

　2つ目は、悪意のある充電器がAndroidの入力サブシステムの競合状態を悪用するものだ。USBデータ接続の開始時に大量の入力イベントを生成して「入力イベントキュー」を埋めることにより、事前に注入された入力イベントが自動的にユーザー確認プロンプトを承認する。 　3つ目は、iOSにも有効な方法だ。USB接続している充電器がBluetooth HIDデバイスを偽装して、ユーザー確認プロンプトへの同意をリモート実行する。

　どの手法でも、ジュースジャッキングの対策である「ユーザー確認プロンプト」を巧妙に同意させ、データ通信を可能としている。攻撃実行のためにはスマホが一度でもロック解除されている必要があるが、充電しながら電話をしたり、情報を検索するなどの行動をすることは珍しくなく、その機会が利用されてしまう。 　チョイスジャッキングに遭うと、Androidは写真や動画などの個人データの取得だけでなく、永続的なコード実行が可能となる。検証では、チョイスジャッキング攻撃により、Google Pixel 7aでは1.3秒、SamsungのOneUI搭載Androidでは0.3秒未満でファイルの抽出やコード実行が可能となった。iOSでは、写真や動画へのアクセスにとどまるが、iPad Pro(2022年モデル)では、23秒以内に写真やビデオを抽出できたという。

鈴木 朋子 :ITライター・スマホ安全アドバイザー