Juice Jacking: পাবলিক চার্জিং স্টেশন ব্যবহারে মোবাইল ডেটা চুরির সম্ভাব্য ঝুঁকি!

Juice Jacking আক্রমণ সম্ভব হওয়ার মূল কারণ হলো USB স্ট্যান্ডার্ডের প্রকৃতি। একটি সাধারণ USB কেবলে চারটি পিন থাকে—দুটি পাওয়ার (VCC এবং GND) এবং দুটি ডেটা (D+ এবং D-)। যখন একটি মোবাইল ডিভাইস USB-এর মাধ্যমে কম্পিউটার বা চার্জিং পোর্টের সঙ্গে সংযুক্ত হয়, তখন একই কেবলে পাওয়ার এবং ডেটা উভয় ক্যারি করার সম্ভাবনা থাকে।

আধুনিক স্মার্টফোন একটি চার্জার এবং একটি ডেটা হোস্টের মধ্যে পার্থক্য করতে পারে, কিন্তু এই পার্থক্য সবসময় নিখুঁত নয়। বিশেষ করে যখন একটি ডিভাইসকে USB Host হিসেবে কনফিগার করা যায়, তখন সংযুক্ত ফোনটি অজান্তেই ফাইল ট্রান্সফার, ADB কমান্ড বা MTP প্রোটোকলের মাধ্যমে যোগাযোগ শুরু করতে পারে।

পুরোনো Android সংস্করণে USB সংযোগের সঙ্গে সঙ্গে MTP মোডে অ্যাক্সেস পাওয়া যেত। iOS-এ "Trust This Computer" পপ-আপ আসে, কিন্তু একবার Trust হলে সেটি দীর্ঘমেয়াদী থাকে। এই দুর্বলতাগুলোই Juice Jacking-এর প্রধান শোষণযোগ্য বিন্দু।

Juice Jacking আক্রমণকে সাধারণত কয়েকটি ক্যাটাগরিতে ভাগ করা যায়। প্রথমটি হলো Data Theft বা ডেটা চুরি, যেখানে সংযুক্ত ডিভাইস থেকে ফটো, কন্টাক্ট, ইমেইল, ডকুমেন্ট এবং অন্যান্য সংবেদনশীল ফাইল কপি করে নেওয়া হয়। যদি ব্যবহারকারী ভুলবশত ফাইল ট্রান্সফার অনুমতি দেন, তবে এই কপি স্বয়ংক্রিয়ভাবে ঘটতে পারে।

দ্বিতীয় ধরন হলো Malware Installation, যেখানে চার্জিং স্টেশন ডিভাইসে অ্যাপ্লিকেশন, কাস্টম ফার্মওয়্যার বা পেলোড পুশ করে। এটি বিশেষত developer mode সক্রিয় থাকা Android ডিভাইসের ক্ষেত্রে কার্যকর, যেখানে ADB-এর মাধ্যমে কমান্ড পাঠিয়ে অ্যাপ ইনস্টল করা যায়।

তৃতীয় হলো Video Jacking, যেখানে চার্জিং স্টেশন HDMI বা MHL আউটপুট ক্যাপচার করে ডিভাইসের স্ক্রিনের কপি রেকর্ড করে। ২০১৬ সালে গবেষকরা প্রমাণ করেছিলেন কিভাবে কিছু USB-C ফোন ভিডিও আউটপুট দেয় এবং সেটি ক্যাপচার করা সম্ভব। চতুর্থ এবং সবচেয়ে উন্নত ধরন হলো Trustjacking, যেখানে আক্রমণকারী একটি বৈধ-দেখানো অনুরোধের মাধ্যমে দীর্ঘমেয়াদী Trust সম্পর্ক স্থাপন করে।

Juice Jacking ধারণাটি ২০১১ সালে DEF CON সম্মেলনে Brian Markus, Joseph Mlodzianowski এবং Robert Rowley প্রথম প্রকাশ্যে দেখান। তারা একটি Wall of Sheep-এ ক্ষতিকর চার্জিং কিয়স্ক স্থাপন করেছিলেন, যা সংযুক্ত ফোনের সঙ্গে যোগাযোগ চেষ্টা করত এবং সফল হলে একটি সতর্ক বার্তা প্রদর্শন করত।

২০১৩ সালে Black Hat-এ Billy Lau, Yeongjin Jang এবং Chengyu Song "Mactans" নামে একটি দূষিত চার্জার প্রদর্শন করেন, যা iOS ৬-এ চলা iPhone-এ ম্যালওয়্যার ইনস্টল করতে সক্ষম ছিল। এই গবেষণার পর Apple iOS ৭-এ "Trust This Computer" ডায়ালগ যুক্ত করে।

২০১৮ সালে Symantec-এর গবেষক Roy Iarchy এবং Adi Sharabani "Trustjacking" উন্মোচন করেন। তারা দেখিয়েছিলেন কিভাবে একবার Trust প্রতিষ্ঠা হলে আক্রমণকারী iTunes Wi-Fi Sync-এর মাধ্যমে দূর থেকেও ডিভাইসে অ্যাক্সেস বজায় রাখতে পারে। ২০১৯ সালে Mike Grover "OMG Cable" তৈরি করেন—দেখতে সাধারণ Lightning কেবল, কিন্তু ভেতরে একটি ছোট Wi-Fi ইমপ্লান্ট যা কমান্ড ইনজেকশনের অনুমতি দেয়।

২০১৯ সালে লস অ্যাঞ্জেলেস কাউন্টি ডিস্ট্রিক্ট অ্যাটর্নির অফিস ভ্রমণকারীদের পাবলিক USB চার্জিং স্টেশন এড়িয়ে চলার পরামর্শ দিয়েছিল। ২০২৩ সালে এফবিআই-এর ডেনভার শাখা একটি বহুল-আলোচিত টুইটে সতর্ক করে যে "অপরাধীরা পাবলিক USB পোর্ট ব্যবহার করে ম্যালওয়্যার এবং পর্যবেক্ষণ সফটওয়্যার ডিভাইসে স্থাপন করার উপায় খুঁজে বের করেছে।"

এফসিসি (Federal Communications Commission) একই বছর একই ধরনের সতর্কতা জারি করেছিল। সিঙ্গাপুর, অস্ট্রেলিয়া এবং ভারতের সাইবার কর্তৃপক্ষও অনুরূপ গাইডলাইন প্রকাশ করেছে। যদিও বাস্তবে নিশ্চিত করা Juice Jacking ঘটনার সংখ্যা সীমিত, সম্ভাবনা এবং প্রস্তুতির পরিসর উদ্বেগজনক।

বাংলাদেশের প্রেক্ষাপটে শাহজালাল আন্তর্জাতিক বিমানবন্দর, বড় শপিং মল, ক্যাফে এবং কনফারেন্স ভেন্যুতে পাবলিক চার্জিং পয়েন্ট ক্রমেই বাড়ছে। ভ্রমণ এবং কাজের চাপের মাঝে ব্যবহারকারীরা সচেতনতা ছাড়াই এসব ব্যবহার করেন—যা আক্রমণের সুযোগ তৈরি করে।

একটি বাস্তব Juice Jacking আক্রমণ কীভাবে ঘটতে পারে তা বোঝা গুরুত্বপূর্ণ। কল্পনা করুন একজন ভ্রমণকারী একটি ব্যস্ত বিমানবন্দরে অপেক্ষা করছেন। তিনি দেখলেন একটি আকর্ষণীয় চার্জিং স্টেশন, সম্ভবত কোনো ব্র্যান্ডের লোগো দিয়ে সাজানো। তিনি তার চার্জিং কেবল ভুলে গেছেন, তাই স্টেশনে থাকা কেবল ব্যবহার করতে বাধ্য হলেন।

প্লাগ ইন করার সঙ্গে সঙ্গে ফোনের স্ক্রিনে "Allow access to data?" পপ-আপ আসতে পারে। ব্যস্ততায় অথবা "Trust" বাটনের সঙ্গে অভ্যস্ততায় তিনি সম্মতি দিলেন। ব্যাকগ্রাউন্ডে চার্জিং স্টেশনে লুকানো Raspberry Pi বা অনুরূপ ডিভাইস ফোনের ফাইল সিস্টেম থেকে সাম্প্রতিক ফটো, ব্যাকআপ ফাইল, ব্রাউজার কুকিজ এবং অ্যাপ ডেটা কপি করে নিল। কিছু ক্ষেত্রে এটি একটি Surveillance অ্যাপও ইনস্টল করতে পারে যা পরবর্তীতে দূর থেকে নিয়ন্ত্রণযোগ্য।

আরও পরিশীলিত পরিস্থিতিতে আক্রমণকারী কোনো নির্দিষ্ট ব্যক্তির ওপর Targeted Attack চালাতে পারে—সাংবাদিক, রাজনৈতিক ব্যক্তিত্ব, কর্পোরেট নির্বাহী—কোনো নির্দিষ্ট স্থানে চার্জিং কিয়স্ক স্থাপন করে। গবেষকরা দেখিয়েছেন একটি দূষিত কেবল $৫০ থেকে $২০০-এর মধ্যে তৈরি করা সম্ভব।

Juice Jacking থেকে রক্ষা পাওয়ার জন্য বেশ কয়েকটি কার্যকর কৌশল রয়েছে। প্রথম এবং সবচেয়ে নিরাপদ হলো ব্যক্তিগত পাওয়ার ব্যাংক বহন করা। আজকাল ১০,০০০–২০,০০০ mAh ক্ষমতার কম্প্যাক্ট পাওয়ার ব্যাংক সহজলভ্য এবং বিশ্বস্ত।

দ্বিতীয় বিকল্প হলো USB Data Blocker বা "USB Condom" নামক ছোট অ্যাডাপ্টার ব্যবহার করা। এটি একটি ফিজিক্যাল ডিভাইস যা USB কেবলের ডেটা পিন (D+ এবং D-) ব্লক করে দেয়, শুধু পাওয়ার পিন সক্রিয় রাখে। ফলে আক্রমণকারী কোনো ডেটা যোগাযোগ স্থাপন করতে পারে না। PortaPow, USBROXY ইত্যাদি জনপ্রিয় ব্র্যান্ড।

তৃতীয়, যদি পাবলিক চার্জার ব্যবহার করতেই হয়, তবে শুধু AC পাওয়ার আউটলেট ব্যবহার করুন আপনার নিজের চার্জিং অ্যাডাপ্টার সহ। এটি USB-USB সংযোগ এড়িয়ে যায়। চতুর্থ, ফোনে Charging Mode সক্রিয় থাকতে হবে—iOS-এ "Don't Trust" নির্বাচন করুন, Android-এ "Charge only" মোড নির্বাচন করুন।

পঞ্চম, Developer Options এবং USB Debugging সাধারণ ব্যবহারকারীদের জন্য বন্ধ রাখা উচিত। যদি ডেভেলপার মোড সক্রিয় থাকতেই হয়, USB Debugging Authorization-এ "Always allow from this computer" বিকল্প কখনোই নির্বাচন করবেন না অপরিচিত পরিবেশে।

ষষ্ঠ, ফোনকে সর্বদা আপডেটেড রাখুন। iOS এবং Android উভয়ই Juice Jacking-সংক্রান্ত দুর্বলতার বিরুদ্ধে নিয়মিত প্যাচ প্রকাশ করে। সপ্তম, Lockdown Mode (iOS) বা অনুরূপ উচ্চ-নিরাপত্তা মোড উচ্চ-ঝুঁকিতে থাকা ব্যবহারকারীদের জন্য অতিরিক্ত সুরক্ষা প্রদান করে।

প্রতিষ্ঠানগুলোর উচিত তাদের কর্মীদের, বিশেষত যারা ঘন ঘন ভ্রমণ করেন, একটি স্পষ্ট Mobile Device Security Policy প্রদান করা। এতে অন্তর্ভুক্ত থাকবে—পাবলিক চার্জিং স্টেশন এড়িয়ে চলা, কোম্পানি-অনুমোদিত পাওয়ার ব্যাংক ব্যবহার, USB Data Blocker সরবরাহ, এবং MDM-এর মাধ্যমে USB ডেটা ট্রান্সফার নিয়ন্ত্রণ।

ক্লাসিফায়েড বা সংবেদনশীল ভ্রমণে—কূটনৈতিক, সামরিক, কর্পোরেট গোপন—পাবলিক চার্জার সম্পূর্ণভাবে নিষিদ্ধ থাকা উচিত। ভ্রমণের আগে ডিভাইস ব্যাকআপ এবং প্রয়োজনে "Burner Phone" ব্যবহার একটি সাধারণ Best Practice।

USB-C-এর ব্যাপক প্রসার নতুন চ্যালেঞ্জ নিয়ে এসেছে। USB-C Power Delivery এবং Alt Mode-এর কারণে একটি কেবল ভিডিও, ডেটা, পাওয়ার এবং বিভিন্ন প্রোটোকল একসঙ্গে ক্যারি করতে পারে—যা আক্রমণ পৃষ্ঠ বিস্তৃত করে। অন্যদিকে, ওয়্যারলেস চার্জিং (Qi) Juice Jacking-এর ঝুঁকি ব্যাপকভাবে কমিয়ে দিয়েছে, কারণ এটি বিশুদ্ধভাবে পাওয়ার ট্রান্সফার।

আগামী দিনে স্মার্টফোন প্রস্তুতকারকদের কাছে আশা যে USB ডেটা যোগাযোগ আরও স্পষ্ট অনুমতি ভিত্তিক হবে, এবং Trust-এর জন্য সময়সীমা যোগ করা হবে।