看过昨晚的315晚会后,有很多人表示自己看了个假的 315,因为像三星手机爆炸、iPhone 6s 自动关机这些影响比较大的事件都没有曝光。更有业界人士表示,三星早在去年便已经做好了准备,成功“避开”了 315 的追查。

不管其中的具体内幕是如何,对于 315 来说,揭发的也确实是对我们危害比较大的一些违法假冒企业。同时,也是给我们提供了一些消费预警,谨防未来自己的财产和安全受到损害。比如这次信息安全问题就受到前所未有的重视,除了人脸识别可以被AI“换脸术”破解之外,公共场所的手机充电桩也有可能被黑客利用,向用户手机植入病毒应用,从而获取用户信息,盗取用户钱财。

央视神话了黑客能力

如今人们越来越离不开手机,随时随地充电成为“低头一族”不可或缺的需求,很多场地也设置了公共充电桩,投个硬币甚至免费就可以充电。然而315晚会指出,一部分充电桩充进手机的电并不“干净”,有人被安装了额外的APP,有人则被奇怪消费。 20170316-charge-hacker-1 记者了解到,公共充电桩风险挖掘是360无线电安全研究部的研究成果之一,360无线电安全部负责人杨卿通过视频,向人们展示了手机充电桩能够任意窃取照片、偷发短信,甚至盗刷消费的事实。 20170316-360-yangqing-hacker 360无线电安全部负责人杨卿

技术实现的关键在于,只要你连接上了充电桩,黑客就能通过USB端口控制你的手机,在你毫不知情的情况下对用户手机信息进行窃取、静默推送App、发送短信和进行消费等等。

事实上,单纯充电,黑客想要做到这样是不可能的,央视的报道漏洞百出,因为他们遗漏了最重要的问题没有解释。

从微博上曝光的图片来看,__这类问题充电桩往往会有提示牌,提醒iOS用户信任安装描述文件,或者Android用户打开USB调试模式。__ 20170316-charge-phone-1 大家可以留意一下,你用充电器充电的话,Android手机并没有模式选择,只有连接电脑才会这样。

注意,__如果你按照要求做了,就等你把你的手机控制权交给了黑客__,后边会发生什么事情就没有人知道了。这里先拿开源的Android系统手机举例子,其实智能手机都有一个“USB调试模式”。借助电脑上的调试工具,运行指令就能操控手机。 20170316-candroid-usb-1

这有点类似编程语言和说人话的区别,你在用手机的过程中感觉只是点点屏幕,同样黑客也可以通过代码指令来完成所有操作。

当手机连接充电桩的数据线,背后连接的可能却是一台装有手机调试工具的电脑,黑客只要敲击相应的指令代码,就轻而易举夺去了手机的控制权。

iPhone就没问题吗

虽然相对于开源的Android系统,封闭的iOS要牢靠很多,但也并不是完全没有风险。相信很多iPhone用户都有弹出过“是否信任此电脑”的警告。 20170316-ios-iphone-1 受信任的电脑可以和iOS设备同步,创建备份,以及访问设备上的照片、视频、通讯录和其他内容。反之如果不信任某一台电脑,它就被禁止访问您设备上的内容。

目前市面上也有Lightning接口的外置存储装置,如果选择信任设备就能读取照片应用中的内容,所以手机充电桩也能办到这样的事情。

而手机是否能够快充,跟你打开USB调试模式或者安装描述文件是没有任何关系。__之所以会有这样的提示,因为数据线另一端连接的不是电源,而是黑客的电脑__。

连接USB后弹出窗口,不要轻易点

“之所以选择免费充电桩作为风险演示对象,是人们的安全意识普遍不高,认为只是充电而已,不会存在的安全隐患。”杨卿表示,充电桩被动过手脚后,用户只要点击了“同意”或者“信任”,手机里的照片、短信、通讯录等隐私信息就会源源不断流走,用户毫无知觉。杨卿提醒市民,在外充电,最好自带充电器和数据线,选择墙壁插座进行充电。

另外,大家对待免费充电桩也不必担惊受怕,__理论上Android手机关闭USB调试模式不要随便ROOT,iPhone保持iOS最新版本拒绝信任陌生电脑,不随便安装描述文件__,单纯充电的话,黑客拿你并没有什么办法。 20170316-charge-phone-2

扩展阅读:曝光一下无良企业

此前“中国之声”曾解读过一款这样的充电站,发现的隐患如下:

这是一款名为“充畅科技”的免费手机充电站,出现在各大火车站、机场,它以高速充电为名,要求智能手机用户向充电站的电脑开放权限并安装手机软件才可高速充电。 20170316-charge-hacker-2 按照畅充科技网站介绍,其在北京、上海、南京等地的火车站、机场、客运站都部署了充电站,如此放开权限,手机中的短信、照片、通讯录等隐私将完全不设防。畅充科技则认为,自己已经对软件安装进行了提示。 20170316-charge-hacker-3 然而,很多用户不知道的是,开启了USB调试后,不法分子便会利用USB漏洞获取到用户手机的最高权限,至此,用户手机的一切信息可以说是完全的暴露给了系统,手机将对病毒、木马软件不设任何防护,手机内的照片、通讯录、短信等信息也将一览无余。 20170316-charge-hacker-4 值得一提的是,存在风险的并非只有安卓手机,面对不法分子设立的充电桩,iOS系统同样存在安全隐患,如果用户按照不法分子设立的充电桩提出的要求进行信任操作,当你选择信任某个应用来源时,对方就可以随意在你的iPhone里安装没有经过苹果官方审核的APP,这意味着iPhone也能被流氓软件入侵。 20170316-charge-hacker-5 此前也曾有报道进行过相关阐述:由于USB协议本身设计时并未充分考虑安全问题,安全专家通过对USB漏洞的深入挖掘利用,开发出的名称为“BadUSB”的恶意程序,能实现对普通USB设备固件重写,使之成为带毒的恶意设备继续感染其他USB设备,导致“硬件病毒感染”式的交叉传播。只要接入过这些恶意设计的充电宝、充电站,不仅智能手机内的数据将面临极大的安全风险,凡手机直接或间接连接过的计算机等设备也将面临感染恶意软件、重要信息被盗等安全风险。 20170316-charge-hacker-6 所以,想要真正的杜绝这种安全隐患,用户只能提升自己的安全意识,千万不要听信一些所谓的免费充电桩的诱人介绍,比如开启USB调试后能够变为高速充电、或开启USB调试后能够享受全国任意充电桩的免费服务等,理论上来说,这种诱导用户开启USB调试的充电桩都存在一定程度的问题,用户在选择充电桩时,一定要多加留意,如果一定要选择充电桩进行充电,那么一定要确保USB调试为关闭状态,这样就可以最大程度的杜绝安全隐患。

EETC wechat barcode


关注最前沿的电子设计资讯,请关注“电子工程专辑微信公众号”。