近日�����,某自媒體賬號拍攝的一段“免費(fèi)充電寶暗藏玄機(jī)”的視頻在網(wǎng)上瘋傳����。視頻中的“免費(fèi)充電寶”被拆解后�,赫然出現(xiàn)盜竊用戶手機(jī)信息的隱蔽裝置,這讓不少網(wǎng)友大驚失色����。這是真的嗎�����?
對此���,上海絢格科技一位資深技術(shù)專家向解放日報·上觀新聞記者表示 :被改裝后的充電寶竊取手機(jī)用戶信息���,從理論和實踐上來講都是有可能的��,裝個木馬程序就能實現(xiàn)���。
網(wǎng)傳視頻截圖↑ (拆解電源有危險,請勿模仿)
陌生充電寶可能被改造 手機(jī)是否“授權(quán)”都有危險
視頻中的這個免費(fèi)充電寶來自街頭派送��。這段視頻一開頭就注明是“隱蔽拍攝”���,拍攝者向一位正在派送禮品的中年婦女索取了一個充電寶�����,中年婦女警惕地問其職業(yè)�,被拍攝者以“做大生意的”搪塞過去��。
視頻后半段��,拍攝者開始拆解該充電寶����,發(fā)現(xiàn)其內(nèi)部有一個類似U盤的裝置,一端連接充電寶電源�����,一端插有一張SIM卡。
拍攝者提醒:通過這個簡單裝置����,黑客能竊取被連接充電手機(jī)中的信息,甚至可以盜刷微信和支付寶中的錢����。
視頻最后提醒:春運(yùn)期間,希望大家在火車站及各類車站����,要加強(qiáng)防范,不要貪圖小便宜而造成更大的損失����。
網(wǎng)傳視頻截圖↑ (拆解電源有危險,請勿模仿)
對此視頻���,上海絢格科技一位資深技術(shù)專家表示�����,陌生充電寶的安全問題其實早已被技術(shù)人員注意到,其竊取信息原理可概括為:黑客在充電寶中偷偷安插木馬程序����,使用者手機(jī)一旦與其連接��,并且安卓系統(tǒng)手機(jī)選擇“允許訪問設(shè)備數(shù)據(jù)”����、iOS系統(tǒng)手機(jī)選擇“信任該設(shè)備”��,那么手機(jī)中的數(shù)據(jù)就可立刻被盜取�����,木馬病毒在WiFi或者4G等網(wǎng)絡(luò)環(huán)境里還能直接上傳到云端或者傳輸給黑客�。
更嚴(yán)重的是,如果安卓系統(tǒng)手機(jī)的開發(fā)者模式是開啟狀態(tài)�����,該手機(jī)還有可能被黑客遠(yuǎn)程操控�����。
蘋果手機(jī)和安卓連接設(shè)備后的提示↑
那是否只要不點“允許訪問”或“信任”就可以避免被竊信息嗎�?
這位技術(shù)專家不這么認(rèn)為,他表示��,一般情況下,安卓或者iOS系統(tǒng)手機(jī)在連接電腦時是需要對外接設(shè)備進(jìn)行授權(quán)的�����,但是��,理論上�,只要是系統(tǒng),不可能百分百沒有漏洞����,黑客甚至可以實現(xiàn)繞過授權(quán)這一步,只要能想辦法拿到手機(jī)系統(tǒng)的目錄權(quán)限�,也能入侵手機(jī),盜取信息�。
還有一種可能性,黑客會忽悠用戶開啟授權(quán)��,手機(jī)用戶自己無意中開了授權(quán)都不知道���。
因此�,隨意將手機(jī)連接到任何來路不明的設(shè)備都是十分危險的�����,你不知道這個設(shè)備有沒有木馬病毒程序�,充電寶也是如此。
改造成本不到300元 安卓系統(tǒng)和iOS系統(tǒng)都可能中招
使用來路不明充電寶遭遇信息被盜取的案例真實存在�����。
記者注意到�����,2015年11月27日��,揚(yáng)子晚報報道過一個案件����。當(dāng)?shù)厥忻耜愊壬鷪缶Q,因為借用了陌生人的充電寶��,導(dǎo)致自己手機(jī)內(nèi)的銀行卡信息外泄�,存款被盜刷2000余元。經(jīng)過辦案民警檢測�����,陳先生的手機(jī)曾連接不明電源數(shù)據(jù),而被病毒侵入����,最終導(dǎo)致手機(jī)內(nèi)的數(shù)據(jù)外泄。
2017年5月15日��,“@上海網(wǎng)警”也曾發(fā)布長微博�,對充電寶有可能被人利用暗藏木馬病毒作出提醒。
網(wǎng)警提醒↑
該長微博提到了浙江工業(yè)大學(xué)網(wǎng)絡(luò)安全協(xié)會研究員鄭毓波的一個實驗�����。
實驗員在充電寶中裝入微型電腦板�����,手機(jī)接入充電寶����,木馬程序進(jìn)入手機(jī),實驗員可隨意通過木馬程序查看該手機(jī)中的通訊錄和照片等資料�����,甚至可以進(jìn)入支付寶等軟件進(jìn)行惡意消費(fèi)和轉(zhuǎn)賬��,也可隨意接收驗證短信更改密碼。即便拔掉充電寶��,手機(jī)依然處于被木馬程序控制狀態(tài)�。
實驗指出��,惡意改造一個充電寶�,成本不到300元,USB接口的背后�����,到底是微型電腦還是普通電源�,用戶從外形上完全看不出。
實驗插圖↑
實驗中��,浙江工業(yè)大學(xué)教授�����、網(wǎng)絡(luò)信息安全專家陳軼民表示�����,手機(jī)被侵入這種情況����,主要發(fā)生在安卓系統(tǒng)上�,因為安卓系統(tǒng)有ADB開發(fā)者模式�,這種模式本意是給開發(fā)者用的,權(quán)限非常高���,基本可以控制整個手機(jī)�����。
所以����,要確保此類手機(jī)的安全��,最好是關(guān)閉手機(jī)設(shè)置中的“開發(fā)者模式”�����。如果你接入充電寶或者下載程序時����,接到開啟開發(fā)者模式的請求,通常來說這款程序就是惡意的�。
無獨(dú)有偶���,網(wǎng)上還流傳有“木馬充電寶”入侵iOS系統(tǒng)手機(jī)、也就是蘋果手機(jī)的實驗�。互聯(lián)網(wǎng)資訊博主“@差評君”曾在2017年5月對街頭的“共享充電寶”進(jìn)行過測試����。
該博主隨機(jī)從街頭借到一個共享充電寶����,改造后在充電寶成功裝入了長度僅幾厘米的微型計算機(jī),而從外形上完全看不出異樣�。當(dāng)一臺蘋果手機(jī)被插入充電寶充電時,iOS系統(tǒng)跳出“要信任此電腦嗎”的提問時����,如果一不小心點到“信任”選項,手機(jī)上的所有信息都會被自動同步到微型計算機(jī)的SD卡上����,在有WiFi的環(huán)境下這些信息還可以自動上傳到云端。
不過��,這個實驗在網(wǎng)民中的評價是褒貶不一�,有網(wǎng)友認(rèn)同這種未雨綢繆式的善意提醒�,但也有網(wǎng)友表示�����,這種對于共享充電寶進(jìn)行改造的方式可能會被壞人利用�����。
勿使用陌生外接設(shè)備���!
因此����,網(wǎng)傳視頻中免費(fèi)贈送的充電寶很有可能就是個陷阱���。
如何避免陷入這類陷阱呢��?上海絢格科技的這位資深技術(shù)專家提了四點建議—— 第一���,不隨便使用外置設(shè)備,不要隨意安裝軟件���;第二��,按時對手機(jī)進(jìn)行流量檢測���,這是最準(zhǔn)的���,可以安裝一些工具來檢測,一旦手機(jī)流量異常�����,就可能有貓膩����;第三���,及時更新手機(jī)系統(tǒng)的版本���;第四,不僅僅是充電寶�����,其實不少智能硬件也不可避免地會有些安全性弊端��,這是一個繞不過去的問題,最好對陌生設(shè)備保持“零信任”態(tài)度����,提高警惕。
“@上海網(wǎng)警”在2017年這條長微博中也已作出提醒:手機(jī)充電固然重要�����,也不要忽視可能存在的安全隱患�����;如果充電寶在接入時����,要求開啟開發(fā)者模式,請千萬保持警惕����,立刻刪除程序或者拔出連接線,對手機(jī)進(jìn)行木馬查殺�����。
其實不僅僅是充電寶��,對于街邊的手機(jī)充電樁也是一樣要小心。
1月30日�����,也就是在本周二�,“@深圳網(wǎng)警”也作出專門提醒:違法犯罪分子在人流聚集地方免費(fèi)贈送充電寶,通過偽裝的充電寶種植木馬病毒�����,要小心“荷包”被盜�����。對此�����,深圳警方提醒: ①手機(jī)接入手機(jī)充電樁(充電寶)時�,如果需要權(quán)限請求���,一律拒絕(包括USB調(diào)試與設(shè)備信任)��。 ②部分手機(jī)充電樁(充電寶)只提供USB孔����,請使用只有充電功能(無數(shù)據(jù)傳輸功能)的充電線。 ③使用手機(jī)充電樁(充電寶)時����,將設(shè)備關(guān)機(jī)。 ④一定要手機(jī)安裝殺毒軟件�����,并定期進(jìn)行殺毒���,避免受到木馬攻擊����。
