ChoiceJacking: con solo 25 segundos de carga, cualquier smartphone revelará sus secretos

Cuando parecía que la amenaza del «Juice Jacking» había quedado en el pasado, una nueva investigación recordó lo frágil que sigue siendo la protección de los dispositivos móviles. A pesar de todos los esfuerzos de Apple y Google, los atacantes lograron eludir la verificación de confianza al cargar teléfonos a través de USB, y los métodos resultaron ser alarmantemente simples.

Los primeros intentos de contrarrestar el «Juice Jacking» surgieron hace aproximadamente diez años. La idea del ataque consistía en utilizar un cargador especial con hardware malicioso integrado para acceder a los archivos del teléfono o ejecutar código en él. Para prevenir tal intervención, los sistemas operativos comenzaron a solicitar permiso del usuario para la transferencia de datos al conectar el cable. Sin embargo, un equipo de especialistas de la Universidad Tecnológica de Graz descubrió que durante todos estos años la protección pudo ser fácilmente burlada.

Los investigadores desarrollaron un ataque llamado ChoiceJacking, que permite a un cargador malicioso confirmar automáticamente las solicitudes de acceso imitando las acciones del usuario. Todo esto fue posible debido a suposiciones incorrectas en la arquitectura de confianza de los protocolos USB. Los sistemas operativos asumían que los dispositivos no podrían actuar simultáneamente como anfitriones y enviar comandos. Pero la práctica demostró lo contrario.

Existen tres variantes de ataque que permiten eludir la protección en Android, y una de ellas también funciona contra dispositivos Apple. En todos los casos, el cargador primero se conecta como periférico, por ejemplo, como un teclado, para enviar comandos. Luego cambia de rol, convirtiéndose en anfitrión, e inicia la solicitud de acceso a los datos. Paralelamente, el cargador malicioso sigue enviando comandos de confirmación a través de la conexión Bluetooth, evadiendo las solicitudes en pantalla.

En la práctica, el ataque se ve así: el teléfono conectado comienza a recibir comandos para activar Bluetooth, abrir configuraciones, aceptar solicitudes de emparejamiento y confirmar el acceso a los datos. Todas las acciones ocurren sin el conocimiento del propietario del dispositivo. Las investigaciones demostraron que para lograr un acceso exitoso se requieren apenas entre 25 y 30 segundos.

Se descubrió que prácticamente todos los modelos populares de teléfonos son vulnerables a este método. La única excepción fue un teléfono Vivo con su propia implementación de protocolos USB, que no admite el cambio de rol de energía. Los demás dispositivos resultaron vulnerables, especialmente si tenían activada la depuración USB, un modo que proporciona un acceso mucho mayor al sistema que la simple transferencia de archivos.

Además de la variante principal del ataque, el equipo identificó otros dos métodos para eludir las protecciones de Android. Uno aprovecha características del Android Open Access Protocol, permitiendo que el cargador-equipado ejecute comandos sin cambiar explícitamente el teléfono al modo accesorio. La segunda variante se basa en sobrecargar el administrador de entrada de Android con un flujo especialmente preparado de eventos, lo que permite al atacante confirmar el acceso antes de que el teléfono procese nuevas solicitudes.

Los resultados del estudio provocaron ciertas reacciones por parte de las compañías. Apple corrigió la vulnerabilidad en la actualización iOS/iPadOS 18.4, exigiendo ahora la introducción de una contraseña o PIN para autorizar la transferencia de datos. Google también implementó un requisito similar en Android 15. Sin embargo, la fragmentación del ecosistema Android jugó un papel crucial: muchos dispositivos de fabricantes externos aún no han recibido las actualizaciones necesarias, y algunos, como los teléfonos Samsung con la interfaz One UI 7, ni siquiera implementaron el nuevo mecanismo de protección.

Según los autores del trabajo, el problema fundamental radica en el equilibrio entre seguridad y facilidad de uso. Los fabricantes no se apresuran a cambiar los principios de conexión por USB, ya que esto inevitablemente complicaría la vida de los usuarios, quienes tendrían que pasar por una autenticación adicional cada vez que transfieran archivos.

ChoiceJacking representa una amenaza especial para los dispositivos con depuración USB activada. En caso de un ataque exitoso, los atacantes obtienen la posibilidad de instalar aplicaciones, modificar archivos y ejecutar comandos directamente en el teléfono.

Las vulnerabilidades descubiertas recibieron los identificadores CVE-2025-24193 (Apple), CVE-2024-43085 (Google), CVE-2024-20900 (Samsung) y CVE-2024-54096 (Huawei). Google confirmó las correcciones en Android 15, pero el destino de los dispositivos de otros fabricantes sigue siendo incierto. Apple se negó a hacer comentarios.

Aunque hasta ahora no se han registrado casos reales de explotación de ChoiceJacking, la nueva información probablemente reforzará los llamados a evitar el uso de estaciones de carga públicas, especialmente para los propietarios de dispositivos que no cuentan con las últimas actualizaciones de seguridad.