“嗨,这是你的照片吗?”
你低头一看,自己的照片赫然出现在对方的手机上,心脏一提。
“您于XX点XX分消费XX元,如非本人操作,请立即咨询……”
你以为是诈骗短信,哪知一查发现余额真的少了,不知所措。
看过昨晚3·15晚会内容的读者肯定知道我在说什么。手机连接一个看似普普通通的充电桩,照片就被泄露,短信就被查看,账户就被消费,这一切都发生在你毫无防备的情况下。
【图片来源315晚会截图】
那么,视频演示中的攻击者到底是如何做到这一切的呢?难道以后大家都不敢用大街上的充电桩了?是否有防范的方法?雷锋网宅客频道在此为读者一一解析。
如今许多充电桩都会有这样的提示:
iOS 用户:”须点击信任按钮“
Android 用户:“须打开USB调试模式,并点击信任后才能充电”
【某充电桩的标识】
只要用户按照提示进行相应操作,就等同于将手机的内部权限拱手交给了充电桩。
那么攻击者在整个过程中,到底做了什么呢?腾讯玄武实验室的移动安全专家马彬对攻击过程的技术原理进行了分析和猜测:
315晚会演示的读取照片、向任何人发送短信等操作,对于开启USB调试并授权的Android手机,只需要在电脑上输入些简单的“adb命令”就能实现。
用受害者的账户买电影票,则可以通过命令安装恶意软件来读取手机短信并拦截用户短信,使用验证码登录受害者的支付账户来实现,整个过程原理并不复杂。
随后雷锋网联系360手机卫士安全专家王冬,确认了攻击者的手法:
攻击者可以直接获取保存在存储卡的照片等文件,同时也可以通过推送APP来监听手机收到的验证码短信。
通过支付软件的找回密码方式以及窃取到的验证码短信便可更改受害者的账号密码,从而达到窃取钱财的目的。
其实早一年前就有相关报道,有充电桩涉嫌在用户不知情的情况下静默安装推广软件,哪知如今便发展成了直接攻陷用户的手机。这些恶意充电桩一般有这几种:
有心机的充电桩会在用户的手机上安装各种APP,以赚取推广费和广告费;
有坏心眼的充电桩会提取短信、照片,甚至微信聊天记录,正如315晚会的演示;
丧心病狂的充电桩则会直接通过漏洞来获取手机的最高 Root 权限(针对安卓手机而言),并种植病毒木马等。
本质上来讲,当你手机连接到充电桩的那一刻,你并不知道充电线的另一头是充电适配器,还是一台小型电脑。而当你开启USB调试,并点击“信任”或者“允许”时,你已经主动授权这台电脑控制你的手机。
然而,360的安全专家王冬告诉雷锋网,这并不是什么安全漏洞,而是手机的正常功能。在安卓手机上,USB调试本是用来方便程序员调试和开发使用的。开启该功能后,电脑就能直接对手机进行任意操作:查看照片、聊天记录、收发短信、甚至破解锁屏密码等等。
其实国内的各大手机应用市场、手机助手等手机辅助软件都依靠了该功能来对手机进行管理和操作,备份联系人、短信、刷机等。
相对于安卓手机,iOS手机的安全性略高,但也只是略高。猎豹渔村安全局告诉雷锋网:
未越狱的高版本iOS系统,基本上不存在比较容易直接导致你金钱上损失的问题。除非出现那种能一键越狱,然后窃取你数据的神洞,俗称0DAY漏洞(比如iOS三叉戟漏洞),不过除非你是重要人物,否则你基本上是享受不到这种待遇的。
但这并不意味着iOS用户可以高枕无忧。iOS 虽然没有安卓上那个叫“USB调试”的选项,但也类似,只要点击“信任”,电脑同样可以拥有读取手机上照片、联系人、安装APP等权限。当你的iPhone插上陌生设备时,一旦选择信任,隐私信息基本拱手相让。
一个充电桩就能控制你的手机,听起来人心惶惶。那我们还能不能好好用充电桩充个电了?答案是能!
王冬告诉雷锋网:恶意充电桩如果要控制手机,绕不过的一步就是获取用户授权。对于android手机来说,关键点在于允许USB调试。
【左为安卓界面,右为ios界面】
所以从原理上来讲,只要用户不主动进行授权,充电桩就无法控制你的手机,你依然可以愉快地使用充电桩。
此外,王冬建议,如果手机连接充电线后,可以勾选“仅限充电”的选项,或者直接使用充电线代替数据线。(充电线无法传输数据,只能充电),这样就可以保障手机的安全。
当然,如果你带了个充电宝,先给充电宝充上电,再用充电宝给手机充电,那自然是更安全的,除非你买的是个假的充电宝。
另外还需要注意的是,手机在连接其他陌生的电脑和设备时,在没有确定安全的情况下,最好也不要点击“允许“或、”信任“之类的弹框,不仅限于充电桩。因为还是那句话,你未必能确定数据线的另一头有什么。