พบการโจมตีรูปแบบใหม่“Choicejacking”ฉกข้อมูลผ่านเครื่องชาร์จมือถือสาธารณะ
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จากมหาวิทยาลัยเทคโนโลยี Graz ประเทศออสเตรีย เปิดเผยเทคนิคการโจมตีแบบใหม่ชื่อ “Choicejacking” ที่สามารถหลอกให้โทรศัพท์มือถือเปิดการเชื่อมต่อข้อมูลผ่าน USB โดยไม่ต้องอาศัยความยินยอมจากผู้ใช้งาน เหมือนกับที่เคยใช้ป้องกันการโจมตีแบบ Juice Jacking ในอดีต
โดยเพียงแค่เสียบโทรศัพท์เข้ากับที่ชาร์จสาธารณะหรือสาย USB ที่ติดตั้งระบบโจมตีนี้ไว้ ตัวโทรศัพท์มือถือจะถูกหลอกว่าเจ้าของได้กดยอมรับการถ่ายโอนข้อมูลแล้ว ทั้งที่จริงแล้วผู้ใช้ไม่ได้แตะหน้าจอเลยแม้แต่น้อย ความเร็วในการโจมตีใช้เวลาเพียง 133 มิลลิวินาที ซึ่งเร็วกว่าการกระพริบตาเสียอีก
การทำงานของ Choicejacking ไม่ได้อาศัยมัลแวร์ในความหมายดั้งเดิม แต่ใช้เทคนิคเลียนแบบอุปกรณ์ป้อนข้อมูล เช่น คีย์บอร์ดหรือเมาส์ผ่านทาง USB หรือ Bluetooth เพื่อส่งคำสั่งไปยังโทรศัพท์มือถือแทนผู้ใช้งาน เช่น กดยืนยันการเข้าถึงข้อมูลหรือเปิดโหมดนักพัฒนาแบบลับ ๆ โดยเหยื่ออาจไม่รู้ตัวเลยด้วยซ้ำ ซึ่งหลังจากการเข้าถึงสำเร็จ แฮกเกอร์สามารถขโมยภาพถ่าย อ่านข้อความ หรือฝังซอฟต์แวร์อันตรายลงในเครื่องได้ทันที
แม้ระบบปฏิบัติการสมัยใหม่ของทั้ง Android และ iOS จะมีระบบแจ้งเตือนเมื่อมีการเชื่อมต่อ USB แต่ Choicejacking สามารถหลีกเลี่ยงกระบวนการขออนุญาตเหล่านี้ได้โดยสมบูรณ์ในบางกรณี
ผู้เชี่ยวชาญเตือนว่าอุปกรณ์ชาร์จโทรศัพท์มือถือในที่สาธารณะต่าง ๆ เช่น สนามบิน โรงแรม หรือร้านกาแฟ อาจกลายเป็นจุดเสี่ยงโดยไม่รู้ตัว โดยเฉพาะหากใช้อุปกรณ์ชาร์จที่ไม่ได้เป็นของตนเอง ทางเลือกที่ปลอดภัยคือการพกพา Power Bank ของตนเอง ใช้เต้าเสียบไฟฟ้าโดยตรง หรือเปิดโหมด “Charge Only” หากอุปกรณ์รองรับ และควรอัปเดตซอฟต์แวร์ของเครื่องให้เป็นเวอร์ชันล่าสุดอยู่เสมอ เพื่อให้ได้รับการป้องกันจากช่องโหว่ใหม่ ๆ ขณะเดียวกัน เทคนิคล่าสุดนี้กำลังจะถูกนำเสนอในงานสัมมนา USENIX Security Symposium ครั้งที่ 34 ในเดือนสิงหาคม 2025 ซึ่งนี้แสดงให้เห็นว่าแฮกเกอร์ยังคงค้นหาและมีวิธีการหลอกลวงใหม่ ๆ อยู่ตลอดเวลา