Češi nabíjí telefon na cestách, ale riskují vše. Přes veřejnou USB nabíječku hackeři proniknou do bankovnictví i k fotkám
NÚKIB aktuálně varuje Čechy před nabíjením telefonů přes veřejné USB porty na nádražích, letištích i v obchodních centrech.
Obsah článku
USB konektor, který cestující vnímá jako pouhou zásuvku na elektřinu, je ve skutečnosti plnohodnotné datové rozhraní. Právě toho mohou útočníci zneužít technikou zvanou juice jacking: jakmile telefon naváže datové spojení s kompromitovaným portem, útočník může získat přístup k fotkám, dokumentům, přihlašovacím údajům a v některých případech i nepřímo k mobilnímu bankovnictví. Mluvčí NÚKIB Jakub Neščivera v rozhovoru pro ČT24 hovořil o možnosti přenosu hesel a napadení internetového bankovnictví přes upravené veřejné USB porty. A nejde o vzdálenou americkou hrozbu: USB porty jsou dnes běžnou součástí české dopravní infrastruktury. České dráhy nabízí nabíjení ve více než polovině svých vlaků a USB zásuvky najdete v MHD většiny krajských měst. Češi zkrátka nabíjí na cestách běžně, jak jsme i z několika internetových diskuzí zaznamenali, a právě proto je varování tak důležité.
Co přesně se stane, když telefon zapojíte do cizího USB portu
Klíčový problém je jednoduchý: USB kabel má vodiče pro napájení i přenos dat. Když telefon připojíte k veřejnému portu, neposílíte mu jen elektřinu. Kompromitovaný port se může chovat jako počítač nebo jiné USB zařízení a pokusit se navázat datové spojení. V tu chvíli se otevírá cesta k potenciálnímu přístupu k obsahu telefonu.
Útočník přitom necílí na to, aby vám „vysál účet přímo z kabelu“. Mechanismus je sofistikovanější: nejdříve kompromituje zařízení, podstrčí škodlivý kód, získá údaje nebo se pokusí převzít přístup k aplikacím. Teprve následně může dojít ke zneužití bankovních přístupů, exportu fotek, videí, dokumentů nebo kontaktů. Podle americké Federální obchodní komise malware typicky cílí na uživatelská jména, hesla a bankovní údaje. Oficiální varování státu New York zmiňuje také možnost úplného zablokování zařízení.
Ani iPhone, ani Android nejsou imunní
Apple i Google do svých systémů zabudovali ochranné mechanismy. iPhone vyžaduje odemčení a potvrzení dialogu „Trust This Computer“, než povolí přístup k datům. Android dokáže při zamčené obrazovce blokovat USB datovou komunikaci. Tyto bariéry ale nejsou absolutní.
Studie ChoiceJacking, publikovaná na konferenci USENIX Security 2025, ukázala, že škodlivá nabíječka dokáže obejít některé existující ochrany na zařízeních osmi výrobců včetně Apple, Google, Samsungu a Xiaomi. Útočník kombinuje roli USB hostitele a příslušenství tak, aby současně vyvolal bezpečnostní výzvu a pokusil se ji automatizovaně potvrdit podvrženým vstupem. Celý proces trvá stovky milisekund. Výzkumníci získali přístup k fotkám, dokumentům i datům aplikací. Kritický je přitom samotný okamžik připojení, nikoli délka nabíjení.
Největší hrozbou je pohodlí
Představte si situaci: sedíte na nádraží, telefon ukazuje pět procent baterie a za chvíli potřebujete naskenovat jízdenku. USB port je přímo v sedačce. Kdo v tu chvíli přemýšlí o datových vodičích? Právě v momentu, kdy je baterie kriticky nízká, uživatel nejspíš odsouhlasí jakýkoli dialog na obrazovce, aniž by ho pečlivě četl. A přesně s tím juice jacking počítá.
Důležité je dodat, že veřejně zdokumentovaný potvrzený případ juice jackingu v Česku jsme v dostupných materiálech nenašli. Ani široce citované varování FBI z dubna 2023 nereagovalo na konkrétní nový incident, ale šlo o preventivní upozornění pobočky FBI Denver, jak uvedl server Axios. To ale neznamená, že je hrozba pouze teoretická. NÚKIB před ní varuje preventivně a akademický výzkum z roku 2025 potvrzuje, že technicky je útok prokazatelně možný i na moderních zařízeních.
Jak se chránit a co dělat, když už jste veřejný port použili
Nejúčinnější ochrana je prostá: vyhněte se cizím USB portům úplně. Konkrétní alternativy:
- Vlastní síťová nabíječka do elektrické zásuvky – žádná data, jen proud.
- Powerbanka – důvěryhodná „hloupá“ powerbanka je doporučovaná obrana i podle amerických úřadů.
- Charge-only kabel – nemá datové vodiče, přenáší pouze elektřinu.
- USB data blocker – malý adaptér, který fyzicky odpojí datové piny.
Pokud přece jen veřejný port použijete, nikdy nepotvrzujte dialogy typu „Důvěřujte tomuto počítači“ nebo „Sdílejte data“. Vždy zvolte možnost „Pouze nabíjet“. Na iPhonu se ujistěte, že máte zapnutou ochranu USB příslušenství vyžadující odemčení zařízení. Na Androidu aktivujte blokaci USB dat při zamčené obrazovce, pokud ji váš výrobce nabízí.
A pokud jste veřejnou nabíječku v minulosti použili a máte pochybnosti? Nepropadejte panice, ale proveďte základní bezpečnostní hygienu: aktualizujte systém, spusťte bezpečnostní kontrolu, z jiného čistého zařízení změňte hesla k důležitým účtům a zapněte dvoufaktorové ověření. Na iPhonu má smysl resetovat důvěryhodná připojení v nastavení.
Powerbanku za pár stovek korun si můžete koupit jednou. Přístup k bankovnímu účtu, fotkám a celé digitální identitě získáte zpět mnohem hůře.