[title]
No hi ha estudis que demostrin que la bateria del mòbil s’acaba sempre en els moments més inoportuns, encara que tots sabem que és així. Per això, quan arribem a algun bar, restaurant o espai tancat busquem endolls amb la mirada o directament hi entrem amb l’únic propòsit de carregar els nostres dispositius electrònics. Però un espai on els barcelonins i barcelonines passen de mitjana 37 minuts al dia quiets pot semblar idoni per aprofitar i emplenar la bateria fins al 100%: el transport públic. No totes les línies de metro ni autobús ofereixen aquesta opció actualment a Barcelona, però des del 2015 s’han anat introduint entrades USB (Universal Serial Bus) progressivament i es preveu que cada vegada estiguin disponibles en més serveis de TMB, no només al transport en si, sinó també a les estacions.
I amb l’arribada del servei, els rumors: és segur carregar el mòbil en espais públics? Ens poden hackejar? Quins perills hi ha? Aquesta preocupació és lògica perquè com diu l’experta Ruth García, tècnica de ciberseguretat de l’Institut Nacional de Ciberseguretat (INCIBE), "les nostres dades són valuoses perquè els delinqüents fan negoci amb elles". Però té fonament? T’ho expliquem.
Per saber si les entrades d’USB són segures, hem de saber que quan endollem el nostre mòbil al corrent mitjançant USB poden passar dues coses: que el dispositiu es carregui i/o que es transportin dades. Que passi una cosa, l’altra o les dues depèn de com estigui fabricada l’entrada USB i el cable que connectem. La diferència amb connectar-ho a un endoll tradicional està en el fet que amb aquest últim no hi ha traspàs de dades i, per tant, el risc de hackeig en aquest sentit no existeix.
Tornant a les entrades USB, la majoria tenen quatre clavilles interiors, també anomenades pins, dues de les quals serveixen per transportar dades i les altres dues proporcionen energia, com explica a Verificat Helena Rifà, directora del màster de ciberseguretat i privacitat de la Universitat Oberta de Catalunya.
Els equips de càrrega de TMB estan dissenyats amb tecnologia anti-hackeig
Per tant, si l'entrada USB no té els dos pins de transferència de dades, només pot fer passar energia, indiferentment del cable que hi connectem. Però si l'entrada USB té els 4 pins (els dos de càrrega i els dos de dades) també es pot bloquejar l'entrada de dades de dues formes: connectant un cable que només deixi passar l’energia o a través de la configuració del mateix dispositiu, segons apunta Antonio Nappa, enginyer informàtic i professor associat de la Universitat Carlos III de Madrid.
En el cas de Barcelona, l’Àrea de Tecnologia de TMB confirma a Verificat que a les entrades USB del transport públic "només se subministra energia i en cap moment hi ha transferència de dades mitjançant el connector". Per tant, a priori, el risc de hackeig és pràcticament nul.
Què és el 'juice jacking'?
El 2011, en una conferència de hacking es va presentar per primera vegada la tècnica del 'juice jacking', que consisteix a "manipular els llocs de càrrega públics modificant els pins que estan destinats a la transferència de dades", segons explica a Verificat Ruth García.
D’aquesta manera, l’atacant "introdueix un petit dispositiu que permet extreure o introduir dades al dispositiu que s’endolli"; així, podria copiar les dades del mòbil o “introduir un programa maliciós” que, per exemple, podria enregistrar tot el que tecleja l’usuari, com explica Helena Rifà en aquest article.
El transport públic de Barcelona
Transports Metropolitans de Barcelona ha incorporat des del 2015 endolls USB als nous autobusos (un 42% de la flota actual) i entre el 2018 i el 2019 també s’han instal·lat carregadors de mòbil en els combois de la línia 2 de metro que està previst que s’ampliïn a altres línies, com detalla el departament de premsa de TMB a Verificat.
Aquestes entrades USB només serveixen per carregar el mòbil, ja que no tenen les dues clavilles per transferir dades, i no són manipulables per dues raons, segons ha explicat l’Àrea de Tecnologia de TMB a Verificat. En primer lloc, perquè per modificar l’entrada USB s’hauria de desmuntar i aquesta té uns caragols no estàndard i, en segon lloc, perquè encara que s’aconseguís desmuntar, el connector està fabricat per "no permetre la instal·lació d'un equip que pugui introduir algun codi maliciós al dispositiu que s'hi connecti". El professor Nappa explica que això seria "fàcil i barat de comprovar" perquè connectant un petit artefacte a l’entrada USB es poden veure els pins que hi ha habilitats. Ruth Garcia considera que d’entrada solament es permeti la càrrega "és una molt bona iniciativa".
Els perills que poden existir
Tot i això, existeix alguna manera de poder hackejar els mòbils si l’entrada no està fabricada per deixar passar dades? La possibilitat existeix, però seria un procés molt complicat.
Per una banda, Nappa diu que el que es podria fer és un "minisabotatge" modificant les clivelles d’entrada d’energia per donar un xoc de càrrega als dispositius que es connecten. És a dir, l’entrada USB emetria una energia superior a la que la bateria pot assumir. Això ens podria fer malbé el mòbil, però les nostres dades seguirien sense córrer perill. Ara bé, "els telèfons més recents tenen protecció de sobrecàrrega i, en el pitjor dels casos, quan el mòbil no reconeix l’energia que li ve, es posa en forma autodefensa i prefereix no carregar-se", aclareix l’enginyer.
D’altra banda, hi podria haver un hackeig de fàbrica o per part d’algú que coneix com funciona el sistema electrònic del transport públic. Seria molt difícil que ho fes algú extern perquè "no hi ha quasi res estàndard i segurament el transport públic de Barcelona i el seu sistema electrònic estan fets a mida", comenta Nappa. De fet, des del departament de premsa del TMB afirmen que "han verificat a través del proveïdor" dels equips de càrrega que estan "dissenyats amb tecnologia anti-hackeig". Per tant, un atac extern seria inviable i un atac intern, d’algú de l’empresa, sembla poc plausible. Segons afirma l’enginyer i professor de la UC3M, una operació d’aquest tipus s’hauria de fer quan es crea el comboi de metro o el mateix autobús i això presenta molts problemes de com guardar i gestionar totes les dades de tots els dispositius que es connecten a l’entrada USB. A més, un atac d’aquest tipus tindria un "cost exagerat" i "no val la pena" perquè hi ha altres formes de hackeig més fàcils per qui vol obtenir informació nostra, segons Nappa.
Tres recomanacions
Tot i que la probabilitat que et hackegin a través de l’entrada USB al transport públic de Barcelona sigui molt baixa, els tres experts consultats per Verificat coincideixen a recomanar tres mesures per prevenir-nos de qualsevol ensurt, ja que, com afirma Ruth García, "qualsevol barrera addicional és millor".
1) Utilitzar bloquejadors USB (també anomenats condons USB), petits dispositius que es connecten al cable i només habiliten la transferència d’energia, o directament utilitzar cables USB que no permetin el traspàs de dades.
2) Comprovar la configuració del mòbil quan el carreguem en espais públics per tenir habilitada només l’opció de càrrega.
3) Utilitzar les entrades USB per carregar una bateria portàtil que després ens serveixi per carregar els nostres dispositius.
Altres articles de Rumors Out:
Com van arribar les cotorres verdes a Barcelona?
Les sabates penjades als cables volen dir que es ven droga: mite o realitat?
NO T'HO PERDIS: Coses per fer a Barcelona al febrer
Llegeix el número de febrer de Time Out Barcelona amb entrevistes, reportatges i les millors recomanacions d'oci i cultura de la ciutat
