Nabili telefon na letišti přes USB a ráno měli prázdný účet. Banky hlásí nárůst krádeží přes nabíječky
Veřejné USB porty na letištích mohou posloužit jako vstupní brána do telefonu. Česká bankovní asociace letos eviduje pokusy o e-podvody za více než 4 miliardy korun jen za první čtvrtletí.
Obsah článku
Představte si gate na odletové ploše, dvě hodiny do boardingu, baterie na osmi procentech. USB zásuvka v opěradle sedačky vypadá jako záchrana. Jenže ten samý konektor, který do telefonu pouští energii, umí přenášet i data. A právě na tom stojí typ útoku, kterému bezpečnostní komunita říká juice jacking: kompromitovaný port nebo kabel naváže datové spojení, aniž si toho oběť všimne. Výsledkem může být krádež přihlašovacích údajů, instalace škodlivého kódu nebo převzetí bankovní aplikace. Samostatně vyčíslenou statistiku „krádeží přes nabíječky“ sice české banky veřejně nevedou, ale mechanismus útoku je reálný, a čerstvý akademický výzkum ukazuje, že i dnešní ochranné bariéry telefonu lze obejít.
Jak funguje útok, který začíná nabíjením
USB konektor má čtyři až pět pinů. Dva slouží k napájení, zbylé k přenosu dat. Útočník do veřejného kiosku, portu nebo kabelu schová miniaturní řadič, který se navenek tváří jako nabíječka. Po připojení telefonu se chová normálně, dodává energii. Vzápětí ale zkusí navázat datové spojení jako USB host. Pokud se mu to podaří, otevírá se cesta k souborům, přihlašovacím tokenům nebo k vývojářskému rozhraní telefonu.
Moderní telefony se proti tomu brání potvrzovacími dialogy: iPhone zobrazí „Důvěřovat tomuto počítači?“, Android žádá souhlas s přenosem dat. Jenže výzkumníci z Technické univerzity v Grazu v práci ChoiceJacking, publikované na konferenci USENIX Security 2025, ukázali, že upravená nabíječka dokáže tyto dialogy autonomně „odkliknout“: přepne se do režimu klávesnice, simuluje uživatelský vstup a získá přístup k MTP, PTP nebo ADB. Testovali desítky modelů od různých výrobců. Zranitelné byly přístroje s Androidem i iPhony.
Samotné připojení k portu ale účet nevyprázdní. Útok má typicky dvě fáze: nejprve kompromitace zařízení, pak zneužití přístupů, tedy krádež session bankovní aplikace, přesměrování autorizačních SMS nebo instalace škodlivé aplikace, která transakce potvrzuje za oběť. ČNB dlouhodobě upozorňuje, že škodlivý software v zařízení může monitorovat veškeré údaje a zpřístupnit je útočníkovi.
Co říkají čísla, a co neříkají
Tady je potřeba být přesný. Česká bankovní asociace ve svých výstupech za rok 2025 uvádí, že podvodníci se pokusili odcizit přes 14 miliard korun; bankám se podařilo klientům uchránit 12 miliard. V prvním čtvrtletí 2026 šlo o více než 4 miliardy korun pokusů, z toho banky zachránily 3,4 miliardy. Jenže tato čísla pokrývají e-podvody jako celek: phishing, falešné aplikace, sociální inženýrství, podvodné investiční platformy. Samostatnou kolonku „krádeže přes USB nabíječky“ v nich nenajdete.
Americká agentura CISA v listopadu 2023 výslovně napsala, že FCC si není vědoma potvrzených případů juice jackingu. Varování před ním existují, ale jako preventivní doporučení, ne jako reakce na zdokumentovanou vlnu útoků.
Co z toho plyne? USB nabíječka na letišti není dnes statisticky nejčastější cesta k vybílenému účtu. Je ale jedním z možných vstupních bodů do řetězce, který končí stejně: převzetím telefonu, přístupů a potvrzených plateb. Česká spořitelna v březnu 2026 uvedla, že její nový bezpečnostní algoritmus v aplikaci George snížil škody klientů o 40 procent, tedy o více než 21 milionů korun. Většina zachycených podvodů přitom stála na manipulaci klienta a platbách, které oběť sama potvrdila. Kompromitovaný telefon takovou manipulaci výrazně usnadňuje.
Proč banka nemusí vždy vrátit peníze
Zákon o platebním styku (č. 370/2017 Sb.) říká jasně: při neautorizované transakci musí banka uvést účet do původního stavu nejpozději do konce následujícího pracovního dne. Klient nese ztrátu maximálně do výše 50 eur, pokud šlo o zneužití ztraceného nebo odcizeného platebního prostředku.
Háček je v jednom slově: neautorizované. Pokud banka prokáže, že klient jednal podvodně, porušil povinnosti úmyslně nebo z hrubé nedbalosti (třeba sám potvrdil transakci v kompromitované aplikaci), nese škodu v plném rozsahu. A právě tady se juice jacking stává záludným: oběť nemusí vědět, že její telefon je kompromitovaný, a přesto může nevědomky autorizovat platbu, kterou inicioval útočník.
Jak se chránit před letní sezónou
Riziko neleží jen na letištích. Ohrožený může být jakýkoli USB port nebo kabel, který nekontrolujete: hotelový noční stolek, nabíjecí kiosek na nádraží, sdílený počítač v coworkingu, reklamní kabel rozdávaný na veletrhu.
Praktické minimum před dovolenou:
- Vlastní adaptér a powerbanka. Nabíjejte ze síťové zásuvky vlastním kabelem. Žádný cizí USB port.
- Aktualizace systému. Záplaty pro ChoiceJacking už výrobci vydávají, ale jen pro aktualizované přístroje.
- Zapnuté ochrany. Na Samsungu: Nastavení → Zabezpečení a soukromí → Automatické blokování → Zapnuto. Na Pixelu 6 a novějším: USB Protection v režimu Advanced Protection. Na iPhonu: nastavení Wired Accessories a nikdy nepotvrzovat „Důvěřovat tomuto počítači“ u neznámého zařízení.
- Limity a notifikace. Zkontrolujte denní limity karet a zapněte push notifikace v bankovní aplikaci. Čím dřív se o podezřelé transakci dozvíte, tím rychleji ji banka zablokuje.
- Žádné aplikace mimo oficiální obchod. ČNB opakovaně varuje, že falešné aplikace instalované mimo Google Play nebo App Store jsou jedním z nejčastějších nástrojů podvodníků.
Co dělat, pokud jste veřejnou nabíječku už použili
Nepanikařte, ale jednejte rychle. Odpojte telefon od cizího USB. Projděte seznam nainstalovaných aplikací, cokoli neznámého odstraňte. Na Androidu spusťte kontrolu přes Google Play Protect. Sledujte varovné signály: neodbytná vyskakovací okna, neočekávané zpomalení, méně volného místa, odeslané zprávy, které jste neposlali.
Z jiného čistého zařízení změňte hesla k e-mailu a bankovnictví. Projděte historii plateb. Při jakékoli podezřelé transakci okamžitě volejte bance, blokace karty trvá minuty a může zachránit zbytek účtu. Na iPhonu navíc zrušte důvěru k dříve povoleným počítačům přes reset nastavení polohy a soukromí.
Letištní USB port vypadá nevinně. Právě proto funguje jako vstupní brána, ne proto, že by sám vyprázdnil účet, ale proto, že otevírá dveře všemu, co přijde potom.