Biuletyn Informacji Publicznej RPO

• Jednym z problemów cyberbezpieczeństwa jest tzw. juice jacking - atakowanie urządzeń elektronicznych  z wykorzystaniem publicznych portów USB, czego efektem jest przejęcie kontroli nad smartfonem czy laptopem  
• W tym kontekście Rzecznik Praw Obywatelskich zwraca szczególną uwagę na bezpieczeństwo rządowych aplikacji moblinych, takich jak mObywatel

RPO Marcin Wiącek prosi ministra cyfryzacji Janusza Cieszyńskiego o informację nt. zabezpieczenia danych dostępnych w aplikacjach rządowych przed nieuprawnionym dostępem i przejęciem.

Cyberataki są jednymi z największych zagrożeń 21. wieku i stanowią już powszechne zjawisko. Nowe metody tych ataków muszą być przedmiotem analizy i refleksji, a także reakcji ze strony właściwych organów.

Jak wynika z Doktryny Cyberbezpieczeństwa Rzeczypospolitej Polskiej z 2015 r., działania na rzecz cyberbezpieczeństwa muszą być podejmowane z uwzględnieniem ochrony praw człowieka i obywatela, a także poszanowaniem prawa do wolności słowa oraz prywatności. Proporcjonalność środków bezpieczeństwa w stosunku do zagrożeń powinna być oparta na efektywnej i wiarygodnej analizie ryzyka.

Od pewnego czasu szeroko dyskutowanym problemem jest tzw. juice jacking - cyberatak wykorzystywany do atakowania urządzeń uniwersalną magistralą szeregową (USB). Atakowanymi urządzeniami są przede wszystkim telefony komórkowe, tablety i laptopy. Do ataku wykorzystuje się port ładowania danego urządzenia. Rozróżnia się dwa rodzaje tych ataków - kradzież danych oraz instalację złośliwego oprogramowania.

Taki cyberatak niezwykle głęboko ingeruje w prywatność użytkowników sprzętów, które miały kontakt z zainfekowanym portem, wobec czego stał się przedmiotem zainteresowania Rzecznika.

Gdy osoba chcąca skorzystać z zainfekowanego portu podłącza swoje urządzenie, hakerzy uzyskują wszystkie dane osobowe bądź infekują urządzenie złośliwym oprogramowaniem. Możliwe jest także kopiowanie danych wrażliwych ze smartfona, tabletu bądź urządzenia komputerowego oraz kradzież tożsamości przy wykorzystaniu takich danych (np. z serwisów bankowych) czy też śledzenie urządzeń.

Istnieją także sposoby na zeskanowanie telefonu komórkowego w poszukiwaniu konkretnych informacji, szczegółów kont użytkownika, danych związanych z bankowością elektroniczną, w tym m. in. dotyczących karty debetowej (kredytowej), a także aplikacji obsługujących przelewy. Hakerzy uzyskują nazwy użytkownika i hasła w ułamek sekundy. Takie oprogramowanie może długo monitorować zainfekowane urządzenie. Może także zamrozić urządzenie i zaszyfrować wszystkie dane, uniemożliwiając powtórny dostęp użytkownika.

Trwają badania i prace nad ograniczeniem zagrożeń związanych z juice jackingiem. Federalne Biuro Śledcze ostrzega użytkowników publicznych portów USB, że hakerzy znaleźli sposób na wprowadzenie tam złośliwego oprogramowania oraz oprogramowania monitorującego. Zalecono noszenie własnego sprzętu ładującego obsługiwanego przez gniazdka elektryczne.

RPO zwraca uwagę Ministra na ten problem. Szczególną troską Rzecznika jest możliwość zainfekowania telefonu użytkownika publicznego portu USB, który w urządzeniu mobilnym ma rządowe aplikacje, np. mObywatel.

mObywatel 2.0 to aplikacja, którą od 14 lipca 2023 r. można bezpiecznie i bezpłatnie pobrać na swój smartfon. Dzięki niej załatwianie spraw urzędowych ma być - jak wynika z informacji MC  - prostsze i wygodniejsze - bez wychodzenia z domu. Umożliwia ona korzystanie z dokumentów tożsamości i załatwianie spraw urzędowych. 

Należy także przypomnieć wcześniejsze informacje dotyczące preinstalacji rządowych aplikacji na wszystkich urządzeniach mobilnych przed ich zakupem. Wówczas nie tylko osoby, które same zainstalowały aplikacje rządowe, ale wszyscy mieliby na swoich urządzeniach dostęp do najwrażliwszych - i z punktu widzenia hakerów - najbardziej pożądanych danych wszystkich obywateli posiadających zarówno telefon jak i dowód tożsamości.

RPO Marcin Wiącek: Dane użytkowników rządowych aplikacji mobilnych muszą być odpowiednio chronione

Cyberataki, czyli nieuprawnione próby pozyskiwania danych i informacji lub chęć przejęcia nad nimi kontroli, to jedno z największych zagrożeń XXI wieku. I to nie tylko w  skali globalnej. Ofiarą cyberataku może paść każdy z nas. 

W smartfonach przechowujemy swoje dane. Również te najbardziej osobiste i wrażliwe. Za ich pomocą legitymujemy się w urzędach i płacimy za zakupy. To są niezwykle przydatne innowacje, ale niestety sprawiają one, że wzrasta też zainteresowanie cyberprzestępców naszymi telefonami. 

Coraz częściej w przestrzeni publicznej widzimy porty USB, do których możemy podpiąć telefon, tablet lub laptop, żeby naładować baterię. Takie gniazdka pojawiają się na przykład na przystankach autobusowych, w środkach transportu publicznego czy w galeriach handlowych.

Tymczasem publiczny port USB może zostać wcześniej przejęty przez hakera. Gdy podłączymy do niego swoje urządzenie, taki haker może uzyskać do niego pełen dostęp i zainstalować złośliwe oprogramowanie. Taki cyberatak to tzw. juice jacking.

Haker może wtedy skopiować dane wrażliwe, śledzić urządzenie, a nawet ukraść naszą tożsamość. Są też sposoby na zeskanowanie smartfona w poszukiwaniu konkretnych informacji, takich jak hasła do kont czy dane związane z bankowością elektroniczną. W tym dane karty płatniczej. Uzyskanie tych danych zajmuje hakerowi zaledwie ułamek sekundy. A taki cyberatak niezwykle głęboko ingeruje w prywatność.

Możliwość zainfekowania telefonu przez publiczny port USB staje się szczególnie niebezpieczna, jeśli w urządzeniu są zainstalowane rządowe aplikacje np. mObywatel. Dlatego zwróciłem uwagę Ministra Cyfryzacji na ten problem. 

Obywatele powinni mieć pewność, że dane przechowywane w aplikacjach rządowych są zabezpieczone przed nieuprawnionym dostępem i przejęciem poprzez ataki typu juice jacking.

Każdy, kto instaluje na swoich urządzeniach elektronicznych rządowe aplikacje, powinien mieć gwarancję, że jego dane będą odpowiednio chronione.

VII.501.165.2023